Windows
禁用 SSLv2 系統範圍
當我們的系統被安全掃描時,它會出現弱密碼錯誤,並指出他們使用 SSLv2 進行通信的事實。我們的想法是禁用 SSLv2 系統範圍,而不是針對每個應用程序,因為大約有 20 個左右的違規埠,並且跟踪哪些應用程序在哪個埠上可能是一個耗時的過程。
我們添加了系統資料庫項:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
並將DWORD
值設置為0
這似乎阻止了某些應用程序將 SSLv2 用作埠
443
,但不會在任何其他埠上使用,例如 SPLUNK8089
。此外,埠636
和3269
LDAP 根本不使用 SSLv2,而是使用 TLS,並且仍然作為安全發現出現。此設置是系統範圍的設置還是僅對 Windows 服務有影響?如果我們強制應用程序使用 SSLv3,我們應該能夠通過弱密碼。有任何想法嗎?
據我了解,該系統資料庫設置僅影響在伺服器上使用 schannel.dll 進行 SSL 的服務/exe。如果有另一個 Web 服務(例如 splunk)不依賴該 dll 進行 SSL,您將必須參考供應商文件以了解如何禁用該應用程序的弱 SSL 密碼。
更仔細地查看 LDAP 在 636 和 3269 上的發現,並確保它不僅僅是資訊性發現。我相信那些也使用 schannel 並且會受到您已經定義的系統資料庫設置的影響。