一. 修改SSL密碼套件
1.1 加固方法:
1.1.1 操作步驟:
第一步:按下' Win + R',進入"運行",鍵入" gpedit.msc",打開"本地組策略編輯器"。
第二步:打開計算機配置->管理模板->網絡->SSL配置設置。
第三步:在"SSL密碼套件順序"選項上,右鍵"編輯"->在"SSL密碼套件順序"選在"已啟用(E)" 。
第四步:在"SSL密碼套件"下修改SSL密碼套件算法,僅保留TLS 1.2 SHA256 和 SHA384 密碼套件、TLS 1.2 ECC GCM 密碼套件(可先復制該選項原始數值並備份到記事本作回退備用,然后刪除原有內容替換為TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256
點擊"應用"、"確定",並重啟系統實現修復。
第五步:最后重啟服務器。
1.1.2 修復結果驗證:
檢查前:
通過綠盟遠程安全評估系統掃描,發現SSLTLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】漏洞。
SSL在傳輸層對網絡連接進行加密。傳輸層安全TLS(Transport Layer Security),IETF對SSL協議標准化(RFC 2246)后的產物,與SSL 3.0差異很小。
當服務器SSL/TLS的瞬時Diffie-Hellman公共密鑰小於等於1024位時,存在可以恢復純文本信息的風險。
加固后:
通過以上提供的加固方法進行對服務器加固,再次掃描發現。
該漏洞已經修復完成。
1.2 回退方法:
操作步驟:
第一步:按下' Win + R',進入"運行",鍵入" gpedit.msc"。
第二步:打開"本地組策略編輯器"->計算機配置->網絡->SSL配置設置。
第三步:在"SSL密碼套件順序"選項上,右鍵"編輯"->在"SSL密碼套件順序"選在"已啟用(E)" 。
第四步:在"SSL密碼套件"下修改SSL密碼套件算法,在內容里面輸入之前作為回退備用的記事本內數值,若當時沒有備份可參考輸入以下內容:(“TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA” )->點擊"應用"、"確定",即可。