markdown
### 問題
客戶網站的滲透測試報告,其中一項弱點為 不安全的傳輸協定或套件
弱點描述:DES (Data Encryption Standard) 加密金鑰過短可被暴力破解,DES 已被高階加密標準 AES 取代。
### 環境
- Windows Server 2019
- IIS 10
- .NET6 網站
### 測試工具
[Nmap](https://nmap.org/)
https://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html
```
.\nmap.exe -p 443 --script ssl-enum-ciphers 192.168.0.200
```
測試結果:包含 C 級的加密方式
### 解決方法
1. 修改機碼 `HKEY_Local_Machine\System\CurrentControlSet\Control\SecurityProvders\SCHANNEL\Ciphers` 下的各種加密設定
可設定的名稱要參考文件[Transport Layer Security (TLS) registry settings](https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings?WT.mc_id=DT-MVP-5002629)
2. 使用 GUI 工具 ([IIS Crypto](https://www.nartac.com/Products/IISCrypto)),可以最佳化一鍵搞定
有介面可操作的當然以這招為主,不怕打錯字,改錯機碼~推薦
把不要的項目勾消並套用即可,會提醒要重新開機,不過我個人測試是套用後就生效了,若沒生效再重開機吧!
### 修正結果:等級 A
### 結語
大多時候若主機是客戶端管理,開發人員很少要處理主機的進階設定,最常只有操作 IIS 網站設定,資料庫操作,或是排程工作等軟體操作。
這回因為要解決滲透測試報告提出的弱點,學到不少資安的相關知識,只能說還有太多太多不懂的地方,學海無涯。
以後一定還會用得到,特此記錄操作流程及解決方案。
### References
- [Transport Layer Security (TLS) registry settings](https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings?WT.mc_id=DT-MVP-5002629)
- [限制在 Schannel.dll 中使用某些加密演算法和通訊協定](https://docs.microsoft.com/zh-tw/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel?WT.mc_id=DT-MVP-5002629)
- [非網站 Windows 之 SSL 加密弱點檢測及修補](https://blog.darkthread.net/blog/rdp-ssl-cipher-vulnerability/)
- [Windows Server(IIS) SSL 加密弱點修正設定大補帖,讓你的網站達到A級的安全性(免費線上檢測)](https://cootag.com/Topic/51745-Windows-Server-IIS-improve-SSL-Security.html)
- [讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)](https://itbwtalk.com/2014/03/17/%E6%B2%92%E9%82%A3%E9%BA%BC%E5%AE%89%E5%85%A8%E7%9A%84-ssl-%E7%A7%BB%E9%99%A4%E5%BC%B1-ssl-%E5%8A%A0%E5%AF%86%E6%96%B9%E5%BC%8F-cipher/)
沒有留言:
張貼留言