禁用 SSLv2 系統範圍

當我們的系統被安全掃描時，它會出現弱密碼錯誤，並指出他們使用 SSLv2 進行通信的事實。我們的想法是禁用 SSLv2 系統範圍，而不是針對每個應用程序，因為大約有 20 個左右的違規埠，並且跟踪哪些應用程序在哪個埠上可能是一個耗時的過程。

我們添加了系統資料庫項： HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server並將DWORD值設置為0

這似乎阻止了某些應用程序將 SSLv2 用作埠443，但不會在任何其他埠上使用，例如 SPLUNK 8089。此外，埠636和3269LDAP 根本不使用 SSLv2，而是使用 TLS，並且仍然作為安全發現出現。

此設置是系統範圍的設置還是僅對 Windows 服務有影響？如果我們強制應用程序使用 SSLv3，我們應該能夠通過弱密碼。有任何想法嗎？

據我了解，該系統資料庫設置僅影響在伺服器上使用 schannel.dll 進行 SSL 的服務/exe。如果有另一個 Web 服務（例如 splunk）不依賴該 dll 進行 SSL，您將必須參考供應商文件以了解如何禁用該應用程序的弱 SSL 密碼。

更仔細地查看 LDAP 在 636 和 3269 上的發現，並確保它不僅僅是資訊性發現。我相信那些也使用 schannel 並且會受到您已經定義的系統資料庫設置的影響。

引用自：https://serverfault.com/questions/464049