USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > 业界 > WindowsServer2012r2 、Windows Server 2008或2012 修复CVE-2016-2183(SSLTLS)漏洞的办法

    WindowsServer2012r2 、Windows Server 2008或2012 修复CVE-2016-2183(SSLTLS)漏洞的办法

    业界 admin 2浏览 0评论

    一、漏洞说明
    Windows server 2008或2012远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。
    例如如下漏洞:

    二、修复办法

    方法一:
    1、登录服务器,使用管理员身份打开windows powershell,运行gpedit.msc,打开“本地组策略编辑器”。 

    2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。

    3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
    (删除原有内容替换为:
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA)。
    修改后,点击“应用”、“确定”,即可。

    4、重启服务器即可。

    方法二:

    TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

    TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

    <来源:Karthik Bhargavan Gaetan Leurent 链接:https://www.openssl/news/secadv/20160922.txt>

    解决办法

    建议:避免使用DES算法

    1、OpenSSL Security Advisory [22 Sep 2016]

    链接:https://www.openssl/news/secadv/20160922.txt

    请在下列网页下载最新版本:

    https://www.openssl/source/

    2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法

    主要是修改conf文件

    3、Windows系统可以参考如下链接:

    https://social.technet.microsoft/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

    下载Solv-Sweet32.ps1,打开PowerShell(以管理员身份打开否则会无权限报错),进入所在盘,输入地址运行:

    链接:https://pan.baidu/s/1yNuJC6IABd-SrGE0liB53w

    提取码:5joa

    一、漏洞说明
    Windows server 2008或2012远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。
    例如如下漏洞:

    二、修复办法

    方法一:
    1、登录服务器,使用管理员身份打开windows powershell,运行gpedit.msc,打开“本地组策略编辑器”。 

    2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。

    3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
    (删除原有内容替换为:
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA)。
    修改后,点击“应用”、“确定”,即可。

    4、重启服务器即可。

    方法二:

    TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

    TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

    <来源:Karthik Bhargavan Gaetan Leurent 链接:https://www.openssl/news/secadv/20160922.txt>

    解决办法

    建议:避免使用DES算法

    1、OpenSSL Security Advisory [22 Sep 2016]

    链接:https://www.openssl/news/secadv/20160922.txt

    请在下列网页下载最新版本:

    https://www.openssl/source/

    2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法

    主要是修改conf文件

    3、Windows系统可以参考如下链接:

    https://social.technet.microsoft/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

    下载Solv-Sweet32.ps1,打开PowerShell(以管理员身份打开否则会无权限报错),进入所在盘,输入地址运行:

    链接:https://pan.baidu/s/1yNuJC6IABd-SrGE0liB53w

    提取码:5joa

    继续浏览有关 的文章

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论