Desativando cifras fracas

2

Alguém tem alguma experiência em desabilitar cifras fracas no Registro do Windows? O servidor não tem o IIS instalado. Abaixo estão os resultados da minha verificação de segurança, mas não 100% que entradas do registro devem ser adicionadas, eu desativei protocolos inteiros através do registro antes, mas nunca cifras individuais.

Supondo que as chaves de registro seriam criadas aqui.

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\

Aqui está a lista de cifras SSL fracas suportadas pelo servidor remoto:

  Low Strength Ciphers (< 56-bit key)

    TLSv1
      EXP-EDH-RSA-DES-CBC-SHA      Kx=DH(512)     Au=RSA      Enc=DES-CBC(40)          Mac=SHA1   export     
      EXP-DES-CBC-SHA              Kx=RSA(512)    Au=RSA      Enc=DES-CBC(40)          Mac=SHA1   export     
      EXP-RC4-MD5                  Kx=RSA(512)    Au=RSA      Enc=RC4(40)              Mac=MD5    export     

The fields above are :

  {OpenSSL ciphername}
  Kx={key exchange}
  Au={authentication}
  Enc={symmetric encryption method}
  Mac={message authentication code}
  {export flag}
    
por user3329963 18.11.2014 / 15:15

1 resposta

5

Guessing the registry keys would be created here.

Você não precisa adivinhar. Le Microsoft KB :

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel] 
"EventLogging"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client] 
"DisabledByDefault"=dword:00000001

Assim, seu palpite estava próximo, mas observe a subchave Cifras quando você deseja ativar / desativar cifras e a subchave Protocolos quando quiser desabilitar / habilitar protocolos inteiros.

Então, por exemplo, se você quiser desabilitar o RC4, crie várias novas chaves, uma para cada tamanho de chave diferente que possa ser usado no RC4:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128

Em cada uma dessas chaves, você precisa criar o novo valor:

Enabled    REG_DWORD    0

Se você quiser desativar, por exemplo, todo o protocolo SSL v2, crie as chaves:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Dentro de cada chave, faça dois novos valores:

Enabled              DWORD    0
DisabledByDefault    DWORD    1

Observe que essas políticas afetam apenas os aplicativos vinculados a / call no Schannel.dll ... portanto, IIS, Internet Explorer, Área de Trabalho Remota etc. Essas configurações não afetarão os aplicativos que usam outras bibliotecas SSL, como o OpenSSL.

    
por 18.11.2014 / 15:35