2022/03/23

[滲透測試] 修正 Windows Server 不安全的傳輸協定

markdown ### 問題 客戶網站的滲透測試報告,其中一項弱點為 不安全的傳輸協定或套件 弱點描述:DES (Data Encryption Standard) 加密金鑰過短可被暴力破解,DES 已被高階加密標準 AES 取代。 ### 環境 - Windows Server 2019 - IIS 10 - .NET6 網站 ### 測試工具 [Nmap](https://nmap.org/) https://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html ``` .\nmap.exe -p 443 --script ssl-enum-ciphers 192.168.0.200 ``` 測試結果:包含 C 級的加密方式

### 解決方法 1. 修改機碼 `HKEY_Local_Machine\System\CurrentControlSet\Control\SecurityProvders\SCHANNEL\Ciphers` 下的各種加密設定 可設定的名稱要參考文件[Transport Layer Security (TLS) registry settings](https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings?WT.mc_id=DT-MVP-5002629)

2. 使用 GUI 工具 ([IIS Crypto](https://www.nartac.com/Products/IISCrypto)),可以最佳化一鍵搞定 有介面可操作的當然以這招為主,不怕打錯字,改錯機碼~推薦 把不要的項目勾消並套用即可,會提醒要重新開機,不過我個人測試是套用後就生效了,若沒生效再重開機吧!

### 修正結果:等級 A

### 結語 大多時候若主機是客戶端管理,開發人員很少要處理主機的進階設定,最常只有操作 IIS 網站設定,資料庫操作,或是排程工作等軟體操作。 這回因為要解決滲透測試報告提出的弱點,學到不少資安的相關知識,只能說還有太多太多不懂的地方,學海無涯。 以後一定還會用得到,特此記錄操作流程及解決方案。 ### References - [Transport Layer Security (TLS) registry settings](https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings?WT.mc_id=DT-MVP-5002629) - [限制在 Schannel.dll 中使用某些加密演算法和通訊協定](https://docs.microsoft.com/zh-tw/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel?WT.mc_id=DT-MVP-5002629) - [非網站 Windows 之 SSL 加密弱點檢測及修補](https://blog.darkthread.net/blog/rdp-ssl-cipher-vulnerability/) - [Windows Server(IIS) SSL 加密弱點修正設定大補帖,讓你的網站達到A級的安全性(免費線上檢測)](https://cootag.com/Topic/51745-Windows-Server-IIS-improve-SSL-Security.html) - [讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)](https://itbwtalk.com/2014/03/17/%E6%B2%92%E9%82%A3%E9%BA%BC%E5%AE%89%E5%85%A8%E7%9A%84-ssl-%E7%A7%BB%E9%99%A4%E5%BC%B1-ssl-%E5%8A%A0%E5%AF%86%E6%96%B9%E5%BC%8F-cipher/)

沒有留言:

張貼留言