資訊安全檢測真的是一條漫長的路。
今年公司導入了資訊安全檢測系統,也陸續找出了需要修補的安全性問題。
今天來看以下這個弱點
針對這個問題點 “TLS Service Supports Weak Cipher Suite”- “TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000A)”,Google 找了相關訊息,大部份看到的都指向 SSL v2.0、SSL v3.0、TLS 1.0及TLS 1.1 的安全性漏洞,這幾個老古董透過該弱點,駭客可在加密協定建立連線時進行攻擊或解密資料,並藉此竊取傳輸資訊。各大作業系統及瀏覽器已在這幾年陸續的停用了有安全性問題的版本,目前均建議採用TLS 1.2 。
看完這些內容先針對現有使用HTTPS 的網站,透過 Qualys SSL Lab檢測其安全性,當然檢測完的結果只有
“B”,這個檢測網站除了可列出所使用 SSL 憑證的相關訊息外,也會檢查使用了那些
SSL Protocols及Cipher Suite,並列出那些具有安性問題。
Qualys SSL Lab畫面如下:
相關機碼如下:
Windows Registry
Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
完成上述設設定需重啟系統讓設定生效,再次透過Qualys SSL Lab檢測其安全性,檢測完成後的結果已達到
“A”。
但資訊安全檢測系統仍呈現 “TLS Service Supports Weak
Cipher Suite”- “TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000A)”,再回頭查看Qualys
SSL Lab 的檢測結果,仍有部份Cipher
Suite的安全性較弱,而上述的Cipher Suite就在其中。
但這個單一項目如何停用,依Microsoft 的標準作法不是去修改機碼值,就是透過 Power Shell 下命令修改,在某方面來說,這真的不是一個好方法SSL Cipher 相關 Registry 的官方說明在 Transport Layer Security (TLS) registry settings - Microsoft
Docs。
有人推薦一個好用的 Windows Cipher Suite 設定工具 – IIS Crypto,它有畫面可次顯示該主機現有SSL Protocols及Cipher Suite啟用及停用狀態,點選後即可啟用或停用安全等級。
先前調整完後的設定畫面如下:
停用了SSL v2.0、SSL v3.0、TLS 1.0及TLS 1.1,而TLS 1.2 則是啟用的狀態
但TLS_RSA_WITH_3DES_EDE_CBC_SHA仍在啟用中
透過點選停用了TLS_RSA_WITH_3DES_EDE_CBC_SHA,並在確認後重啟主機。重啟完成後再以Qualys
SSL Lab 來檢測一次,確認系統已停用了TLS_RSA_WITH_3DES_EDE_CBC_SHA。
終於完成這個安全性的修復,可回報給資訊安全檢測系統,結束一回合。
後記:
1.
一般講到“SSL”大部份想到的都只是
HTTPS 網站的憑證,其實它還有許應用程式也會使用到。
2.
較舊的作業系統版本可能需完成相對性的更新,才能繼續來停用舊的 Protocols。但這個部份要先確認各項細節,不然會遇到遠端桌面連不上,或是資訊庫開不起、連不上的問題。
3.
這次僅先針對掃出的弱點行調整,並未依
SSL Lab的建議完成所有修正,很怕大符修改帶來的新問題。
列出幾個這次參考的網址
Windows 停用 TLS 1.0 之配套作業整理
https://blog.darkthread.net/blog/disable-tls-1-0-issues/
ODBC 與 OLEDB 之 SQL Server TLS 1.2 支援問題
https://blog.darkthread.net/blog/sql-tls12-odbc-oledb/
啟用TLS1.2作業整理
https://www.tpisoftware.com/tpu/articleDetails/1590
Windows Server(IIS) SSL 加密弱點修正設定大補帖,讓你的網站達到A級的安全性(免費線上檢測)
https://www.boncity.com/Topic/51745-Windows-Server-IIS-improve-SSL-Security.html
Windows 主機如何啟用 TLS 1.2
SSL及TLS Protocols各個版本 在Windows版本的支援狀況
https://docs.microsoft.com/zh-tw/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-
傳輸層安全性 (TLS) 登錄設定
https://docs.microsoft.com/zh-tw/windows-server/security/tls/tls-registry-settings
Nartac Software IIS Crypto
Qualys SSL Lab (SSL Server Test)
https://www.ssllabs.com/ssltest/
最近遇到類似狀況,上網爬文後找到您寫的文章,真是太實用了,非常感謝您的分享!!!
回覆刪除能幫上忙,真好。。
回覆刪除