Disabilita DES-CBC-SHA in schannel

Naviga le tue risposte
4

Ho diversi server IIS in house Questo include IIS 6 e 7.x. Quando eseguo le scansioni PCI esterne, continuo a ricevere avvisi per l'attivazione del protocollo debole DES-CBC-SHA.

Ho le seguenti chiavi di registro impostate per disabilitare i protocolli deboli. La mia comprensione era che la chiusura di questo protocollo era inclusa nella voce DES sulla riga superiore. 

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Ciphers/DES 56/56:  Enabled=0
Ciphers/RC2 40/128: Enabled=0
Ciphers/RC4 40/128: Enabled=0
Protocols/SSL 2.0/Server: Enabled=0
Protocols/PCT 1.0/Server: Enabled=0

Il mio rapporto indica che questo protocollo è abilitato sia per TLSv1 che per SSLv3.

Che cosa succede se manca qualcosa nelle mie impostazioni che renderebbe questo display? Come posso diagnosticare questo internamente per verificare che la scansione sia accurata?

    
posta Tim Brigham 23.08.2012 - 15:22
fonte

1 risposta

5

Supponendo IIS 7.x le impostazioni che stai cercando si trovano qui: Inizia > gpedit.msc > Configurazione del computer > Modelli amministrativi > Rete > Impostazioni di configurazione SSL > Ordine della suite di crittografia SSL

Per impostare l'ordine in modo tale da eliminare i tuoi problemi, controlla la mia risposta qui: Come risolvere SSL 2.0 e BEAST su IIS

Inoltre, anche se dubito che sia completo come le scansioni di conformità PCI, puoi controllare la tua configurazione al Test server Labs Qualys SSL come indicatore di come stai procedendo con la correzione.

Purtroppo queste impostazioni sono state preparate per IIS 6.0 senza alcuna soluzione disponibile.

    
risposta data 29.08.2012 - 18:16
fonte

Leggi altre domande sui tag

La mia chiave OpenPGP è spazzatura a causa di una cattiva entropia? tcp seq numero di previsione