Security
IIS RC4 漏洞 Windows Server 2012 R2
我需要在裝有 Windows Server 2012 R2 的伺服器上禁用不安全的密碼套件才能通過 PCI 漏洞掃描。從我所做的研究來看,這似乎是在 IIS 中通過一些系統資料庫更新完成的,我已經編譯了一個列表並執行了它們。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:00000000
在應用上述、重新啟動並重新執行掃描後,它仍然無法通過啟用 RC4 套件的測試。所以我做了更多的探勘,Google搜尋顯示了一個 SCHANNEL: KB2868725的更新檔,所以我嘗試安裝它,但它與系統不兼容(RC2 已經安裝了它)。
之後我嘗試了IIS Crypto,它已經顯示 R4 密碼被禁用(通過我之前更改的系統資料庫項),但我打開了 PCI 模式,它禁用了更多的套件/密碼。重新啟動後,我很樂觀,但掃描仍然失敗。
從額外的研究看來,2012 R2 應該具有禁用內置 RC4 的功能,並且 IIS 應該尊重這一點,但它沒有這樣做,所以我不知道從這裡去哪裡。
如果任何其他人遇到這種情況時都摸不著頭腦,這不是託管 IIS 的伺服器的問題。如果您在啟用了 RC4 的伺服器前面有任何負載平衡或反向代理,它也會使掃描失敗。