Desativar todo o sistema SSLv2

1

Quando nosso sistema é verificado pela segurança, ele está apresentando erros de codificação fracos e aponta para o fato de estarem se comunicando usando o SSLv2. Nosso pensamento era desabilitar o sistema SSLv2 em vez de cada aplicativo, já que existem cerca de 20 portas ofensivas e rastrear qual aplicativo está em qual porta pode ser um processo demorado.

Adicionamos a chave do registro: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server e defina um valor DWORD para 0

Isso parece impedir que alguns aplicativos usem SSLv2 como porta 443 , mas não em outras portas, por exemplo, SPLUNK 8089 . Além disso, as portas 636 e 3269 para o LDAP não estão usando SSLv2, mas TLS, e ainda aparecem como uma descoberta de segurança.

Esta definição é uma configuração de todo o sistema ou apenas afeta os serviços do Windows? Se forçarmos os aplicativos a usar o SSLv3, poderemos passar pela codificação fraca. Alguma idéia?

    
por What'sTheStoryWishBone 08.01.2013 / 16:24

1 resposta

1

Pelo que entendi, essa configuração de registro afeta apenas serviços / exes que usam schannel.dll para SSL no servidor. Se houver outro serviço da Web (como splunk) que não dependa dessa dll para SSL, você terá que consultar a documentação do fornecedor para saber como desabilitar cifras SSL fracas para esse aplicativo.

Observe mais de perto a descoberta do LDAP em 636 e 3269 e certifique-se de que não seja apenas uma descoberta informativa. Eu acredito que aqueles usam schannel também e seriam afetados pela configuração do registro que você já definiu.

    
por 08.01.2013 / 17:31