Windows

禁用 SSLv2 系統範圍

  • January 8, 2013

當我們的系統被安全掃描時,它會出現弱密碼錯誤,並指出他們使用 SSLv2 進行通信的事實。我們的想法是禁用 SSLv2 系統範圍,而不是針對每個應用程序,因為大約有 20 個左右的違規埠,並且跟踪哪些應用程序在哪個埠上可能是一個耗時的過程。

我們添加了系統資料庫項: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server並將DWORD值設置為0

這似乎阻止了某些應用程序將 SSLv2 用作埠443,但不會在任何其他埠上使用,例如 SPLUNK 8089。此外,埠6363269LDAP 根本不使用 SSLv2,而是使用 TLS,並且仍然作為安全發現出現。

此設置是系統範圍的設置還是僅對 Windows 服務有影響?如果我們強制應用程序使用 SSLv3,我們應該能夠通過弱密碼。有任何想法嗎?

據我了解,該系統資料庫設置僅影響在伺服器上使用 schannel.dll 進行 SSL 的服務/exe。如果有另一個 Web 服務(例如 splunk)不依賴該 dll 進行 SSL,您將必須參考供應商文件以了解如何禁用該應用程序的弱 SSL 密碼。

更仔細地查看 LDAP 在 636 和 3269 上的發現,並確保它不僅僅是資訊性發現。我相信那些也使用 schannel 並且會受到您已經定義的系統資料庫設置的影響。

引用自:https://serverfault.com/questions/464049