As criptografias fracas do IIS do Windows Server 2012 R2 são reportadas após o bloqueio

Question

As criptografias fracas do IIS do Windows Server 2012 R2 são reportadas após o bloqueio

#1 resposta do (0 votos)

1

Estou tendo problemas para bloquear uma caixa de 64 bits do Windows Server 2012 R2. Eu usei uma ferramenta chamada IISCrypto para tornar a caixa compatível com FIPS 140.

Eu verifiquei manualmente as entradas do registro e todas as cifras fracas pareciam desabilitadas, mas a Comunidade do Retina Network Scanner ainda relata o IIS como suporte a cifras fracas ( Enabled=0 ).

Quando executo o SSLScan, recebo o seguinte:

Testando o servidor SSL 127.0.0.1 em port 443 Cifra (s) do servidor suportada:

Failed    SSLv2  168 bits  DES-CBC3-MD5
Failed    SSLv2   56 bits  DES-CBC-MD5
Failed    SSLv2  128 bits  IDEA-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv2  128 bits  RC2-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC4-MD5
Failed    SSLv2  128 bits  RC4-MD5
Failed    SSLv3  256 bits  ADH-AES256-SHA
Failed    SSLv3  256 bits  DHE-RSA-AES256-SHA
Failed    SSLv3  256 bits  DHE-DSS-AES256-SHA
Failed    SSLv3  256 bits  AES256-SHA
Failed    SSLv3  128 bits  ADH-AES128-SHA
Failed    SSLv3  128 bits  DHE-RSA-AES128-SHA
Failed    SSLv3  128 bits  DHE-DSS-AES128-SHA
Failed    SSLv3  128 bits  AES128-SHA
Failed    SSLv3  168 bits  ADH-DES-CBC3-SHA
Failed    SSLv3   56 bits  ADH-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-ADH-DES-CBC-SHA
Failed    SSLv3  128 bits  ADH-RC4-MD5
Failed    SSLv3   40 bits  EXP-ADH-RC4-MD5
Failed    SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-RSA-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    SSLv3  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-DSS-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Failed    SSLv3  168 bits  DES-CBC3-SHA
Failed    SSLv3   56 bits  DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-DES-CBC-SHA
Failed    SSLv3  128 bits  IDEA-CBC-SHA
Failed    SSLv3   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv3  128 bits  RC4-SHA
Failed    SSLv3  128 bits  RC4-MD5
Failed    SSLv3   40 bits  EXP-RC4-MD5
Failed    SSLv3    0 bits  NULL-SHA
Failed    SSLv3    0 bits  NULL-MD5
Failed    TLSv1  256 bits  ADH-AES256-SHA
Failed    TLSv1  256 bits  DHE-RSA-AES256-SHA
Failed    TLSv1  256 bits  DHE-DSS-AES256-SHA
Accepted  TLSv1  256 bits  AES256-SHA
Failed    TLSv1  128 bits  ADH-AES128-SHA
Failed    TLSv1  128 bits  DHE-RSA-AES128-SHA
Failed    TLSv1  128 bits  DHE-DSS-AES128-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Failed    TLSv1  168 bits  ADH-DES-CBC3-SHA
Failed    TLSv1   56 bits  ADH-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-ADH-DES-CBC-SHA
Failed    TLSv1  128 bits  ADH-RC4-MD5
Failed    TLSv1   40 bits  EXP-ADH-RC4-MD5
Failed    TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-RSA-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    TLSv1  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-DSS-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA
Failed    TLSv1   56 bits  DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-DES-CBC-SHA
Failed    TLSv1  128 bits  IDEA-CBC-SHA
Failed    TLSv1   40 bits  EXP-RC2-CBC-MD5
Failed    TLSv1  128 bits  RC4-SHA
Failed    TLSv1  128 bits  RC4-MD5
Failed    TLSv1   40 bits  EXP-RC4-MD5
Failed    TLSv1    0 bits  NULL-SHA
Failed    TLSv1    0 bits  NULL-MD5

Prefered Server Cipher(s):

TLSv1  256 bits  AES256-SHA

O que estou perdendo? Obrigado

ssl windows-server-2012-r2 pci-dss iis-8.5

por cjm4189 12.05.2015 / 20:53

1 resposta

Tags ssl windows-server-2012-r2 pci-dss iis-8.5

WOL remoto sobre CISCO / FW não encaminhando Erro de instantâneo / curvo do Elasticsearch

score 0 · Accepted Answer

Bem, DES-CBC3-SHA ~~é a"mbíguo porque não lista o a"lgoritmo de troca de chaves~~ (certeza de que o RSA está implícito a"í), mas é provavelmente isso que a" Retina está reclamando. Mesmo que ele diga DES (que certamente NÃO é compatível com FIPS), tenho certeza de que ele está se referindo a"o 3DES (DES triplo) por causa da chave de 168 bits, que é 56x3. É a"penas uma má etiqueta a" toda a" volta.

Se a" Retina fosse uma ferramenta melhor, dir-lhe-ia exactamente do que se queixava.

O problema com o uso de ferramentas como o IISCrypto é que você não sabe o que está realmente fazendo nos bastidores .

Além disso, tem certeza de que está usando uma versão do SSLScan que foi a"tualizada para o TLS 1.1 e 1.2? Existem versões flutuando por a"í que param no TLS 1.0. Nesse caso, você pode querer verificar com uma ferramenta mais a"tualizada como SharpTLSScan: link

Você deve ter pelo menos a"lgumas criptografias TLS 1.1 e 1.2 habilitadas no Server 2012 R2 por padrão, o que me faz pensar que sua versão do SSLScan está desatualizada e não procura a"s versões mais recentes do protocolo.

Em qualquer caso, você realmente deseja a"tivar o TLS 1.1 e 1.2. O TLS 1.0 está chegando a"o fim de sua vida útil muito rapidamente.