[滲透測試] 修正 Windows Server 不安全的傳輸協定

問題

客戶網站的滲透測試報告，其中一項弱點為 不安全的傳輸協定或套件

弱點描述：DES (Data Encryption Standard) 加密金鑰過短可被暴力破解，DES 已被高階加密標準 AES 取代。

環境

• Windows Server 2019
• IIS 10
• .NET6 網站

測試工具

Nmap

https://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html

.\nmap.exe -p 443 --script ssl-enum-ciphers 192.168.0.200

測試結果：包含 C 級的加密方式

解決方法

1. 修改機碼 HKEY_Local_Machine\System\CurrentControlSet\Control\SecurityProvders\SCHANNEL\Ciphers 下的各種加密設定

可設定的名稱要參考文件Transport Layer Security (TLS) registry settings

2. 使用 GUI 工具 (IIS Crypto)，可以最佳化一鍵搞定

有介面可操作的當然以這招為主，不怕打錯字，改錯機碼～推薦

把不要的項目勾消並套用即可，會提醒要重新開機，不過我個人測試是套用後就生效了，若沒生效再重開機吧！

修正結果：等級 A

結語

大多時候若主機是客戶端管理，開發人員很少要處理主機的進階設定，最常只有操作 IIS 網站設定，資料庫操作，或是排程工作等軟體操作。

這回因為要解決滲透測試報告提出的弱點，學到不少資安的相關知識，只能說還有太多太多不懂的地方，學海無涯。

以後一定還會用得到，特此記錄操作流程及解決方案。

References

• Transport Layer Security (TLS) registry settings
• 限制在 Schannel.dll 中使用某些加密演算法和通訊協定
• 非網站 Windows 之 SSL 加密弱點檢測及修補
• Windows Server(IIS) SSL 加密弱點修正設定大補帖，讓你的網站達到A級的安全性(免費線上檢測)
• 讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)