บน IIS ฉันจะแก้ไขช่องโหว่ SSL 3.0 POODLE ได้อย่างไร (CVE-2014-3566)

ฉันจะแก้ไขCVE-2014-3566บนระบบ Windows Server 2012 ที่ใช้ IIS ได้อย่างไร

มีโปรแกรมแก้ไขใน Windows Update หรือไม่ฉันต้องเปลี่ยนรีจิสทรีเพื่อปิดใช้งาน SSL 3.0หรือไม่

ไม่มี "แพทช์" มันเป็นช่องโหว่ในโปรโตคอลไม่ใช่ข้อบกพร่องในการใช้งาน

ใน Windows Server 2003 ไป 2012 R2 SSL / TLS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocolsโปรโตคอลจะถูกควบคุมโดยธงในรีจิสทรีที่ตั้งไว้ที่

หากต้องการปิดใช้งาน SSLv3 ซึ่งเกี่ยวข้องกับช่องโหว่ของ POODLE ให้สร้างคีย์ย่อยที่ตำแหน่งด้านบน (หากยังไม่ปรากฏ) ชื่อSSL 3.0และภายใต้นั้นจะมีคีย์ย่อยชื่อServer(หากยังไม่ปรากฏ) สถานที่นี้ ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server) สร้างค่า DWORD ชื่อและปล่อยให้มันตั้งไว้ที่Enabled0

การปิดใช้งาน SSL 2.0 ซึ่งคุณควรทำก็เป็นเช่นเดียวกันยกเว้นว่าคุณจะใช้รหัสที่มีชื่อSSL 2.0ในเส้นทางรีจิสทรีข้างต้น

ฉันไม่ได้ทดสอบทุกรุ่น แต่ฉันคิดว่ามันอาจปลอดภัยที่จะสมมติว่าการรีบูตเป็นสิ่งจำเป็นสำหรับการเปลี่ยนแปลงนี้ที่จะมีผล

เพียงเพื่อความสะดวกในการติดตั้งฉันได้รับไฟล์ "disable ssl 2 และ 3.reg" จากคำตอบของ Evan ด้านบน :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Powershell เพื่อปิดใช้งาน SSL2 และ SSL3:

2..3 | %{ New-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL $_.0\Server" -Name Enabled -PropertyType "DWORD" -Value 0 -Force }

มียูทิลิตี้ฟรีจาก Nartac ที่คุณสามารถใช้เพื่อปิดการใช้งานโปรโตคอล

https://www.nartac.com/Products/IISCrypto/Default.aspx

นี่คือ PowerShell ที่จะทดสอบการมีอยู่ของรีจิสตรีคีย์สร้างถ้าจำเป็นจากนั้นป้อนค่าที่จำเป็นเพื่อปิดการใช้งาน SSL 2.0 และ SSL 3.0

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'


If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
   New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force 

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}

If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
   New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force

สิ่งนี้สามารถปรับใช้โดยใช้ SCCM หรือบรรทัดคำสั่ง - เพียงแค่ให้แน่ใจว่าได้รันงาน SCCM หรือบรรทัดคำสั่งในฐานะผู้ดูแลระบบ บางเว็บไซต์ที่มีข้อมูลรีจิสตรีระบุว่าจำเป็นต้องรีบูตหลังจากสร้างรีจิสตรีคีย์และ / หรือแก้ไขแล้ว

หรือคว้าสำเนาของ IISCrypto และคลิกปุ่มปฏิบัติที่ดีที่สุดจากนั้นยกเลิกการเลือก SSL 3.0 จากนั้นนำไปใช้จากนั้นรีบูต

คุณไม่ต้องปิดการใช้งาน SSL3 คุณสามารถเปิดใช้ SSL3 และมีพุดเดิ้ลลดลง

# Copy and paste this in PowerShell then restart your server
$cipherSuitesOrder = @(
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',
    'TLS_RSA_WITH_AES_128_CBC_SHA256',
    'TLS_RSA_WITH_AES_128_CBC_SHA',
    'TLS_RSA_WITH_AES_256_CBC_SHA256',
    'TLS_RSA_WITH_AES_256_CBC_SHA',
    'TLS_RSA_WITH_RC4_128_SHA',
    'TLS_RSA_WITH_3DES_EDE_CBC_SHA',
    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384'
)
$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)
New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' \
-name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

ด้วยการตั้งค่าเหล่านี้คุณจะยังคงได้รับการสนับสนุน IE6 (ด้วย SSLv3 โดยใช้ RC4) และมีความปลอดภัยมากกว่าการตั้งค่าที่ยอมรับได้ เฉพาะ IE6 และไคลเอนต์เก่าจริง ๆ เท่านั้นที่จะใช้ SSLv3 หรือ RC4 ciphers

มีสคริปต์ PowerShell ที่ดีที่ช่วยในการกำหนดค่า IIS 7.5 และ 8:

สคริปต์ PowerShell นี้ตั้งค่า Microsoft Internet Information Server 7.5 และ 8.0 (IIS) ของคุณเพื่อรองรับโปรโตคอล TLS 1.1 และ TLS 1.2 พร้อมการส่งต่อความลับ นอกจากนี้ยังเพิ่มความปลอดภัยของการเชื่อมต่อ SSL ของคุณโดยการปิดการใช้งาน SSL2 และ SSL3 ที่ไม่ปลอดภัยและและการเข้ารหัสที่ไม่ปลอดภัยและอ่อนทั้งหมดที่เบราว์เซอร์อาจถอยกลับเช่นกัน สคริปต์นี้ใช้กฎการปฏิบัติที่ดีที่สุดในปัจจุบัน

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12