Заштита Виндовса од рањивости ССЛ в3

Гоогле инжењери објавили су критичне информације о рањивости у октобру ССЛ верзија 3.0, добила је смешно име  ПООДЛЕ (Паддинг Орацле Он Довнграед Легаци Енцриптион или Пудлица 🙂). Рањивост омогућава нападачу да приступи подацима шифрованим ССЛв3 користећи човека у средњем нападу. На рањивост утичу и сервери и клијенти који се могу повезати преко ССЛв3.

Уопште, ситуација није изненађујућа, јер протокол ССЛ 3.0, први пут представљен 1996. године, већ је имао 18 година и морално је застарео. У већини практичних задатака већ је замењен криптографским протоколом ТЛС (верзије 1.0, 1.1 и 1.2).

За заштиту од рањивости у потпуности се препоручује ПООДЛЕ. онемогући ССЛв3 подршку и на страни клијента и на страни сервера наставите да користите само ТЛС. За кориснике застарелог софтвера (на пример, коришћење ИИС 6 на Виндовс КСП), то значи да више неће моћи да гледају ХТТПС странице и користе друге ССЛ услуге. У случају да подршка за ССЛв3 није у потпуности онемогућена, а подразумевано се предлаже да се користи јача енкрипција, рањивост ПООДЛЕ ће се и даље појавити. То је због особитости избора и преговора протокола шифрирања између клијента и сервера, јер ако дође до квара у кориштењу ТЛС-а, аутоматски се пребацује на ССЛ.

Препоручујемо да проверите све своје услуге које могу користити ССЛ / ТЛС у било којем облику и онемогућити подршку за ССЛв3. Можете да проверите свој веб сервер за рањивости помоћу мрежног теста, на пример, овде: хттп://поодлеблеед.цом/.

Садржај:

  • Онемогућите ССЛв3 у Виндовс-у на нивоу система
  • Онемогући ССЛв2 (Виндовс 2008 / Сервер и новији)
  • Омогућите ТЛС 1.1 и ТЛС 1.2 у Виндовс Сервер 2008 Р2 и новијим верзијама
  • Помоћни систем за управљање криптографским протоколом у систему Виндовс Сервер

Напомена. Морате јасно да схватите да ће онемогућавање ССЛ в3 на системском нивоу радити само за софтвер који користи системске АПИ-је за ССЛ енкрипцију (Интернет Екплорер, ИИС, ВебДав, СКЛ НЛА, РРАС, Директан приступ итд.). Програми који користе сопствене крипто-алате (Фирефок, Опера, итд.) Морају се ажурирати и конфигурирати појединачно.

Онемогућите ССЛв3 у Виндовс-у на нивоу система

У Виндовс-у се подршком за ССЛ / ТЛС протокол управља преко регистра.

Савет. Пре него што направите ове промене, препоручујемо вам да направите сигурносну копију наведене гране помоћу функције уређивача регистра Извези.

У овом примеру ћемо показати како потпуно онемогућити ССЛв3 у Виндовс Сервер 2012 Р2 на нивоу система (и на нивоу клијента и на серверу):

  1. Отворите уређивач регистра (регедит.еке) са администраторима
  2. Иди до подружнице ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ СецуритиПровидерс \ Сцханнел \ Протоцолс \
  3. Креирајте нови одељак под називом ССЛ 3,0 ( Ново-> Кључ)
  4. У креираном одељкуССЛ 3.0 створите још два пододсека са именима Клијент и Сервер.
  5. Затим у одјељку Клијент креирајте нови ДВОРД (32-битни) назив под називом ДисабледБиДефаулт
  6. Као кључна вредност ДисабледБиДефаулт назначити 1.
  7. Затим у подружници сервера креирајте нови ДВОРД (32-битни) параметар под називом Омогућено и вредност 0.
  8. Да би промене ступиле на снагу, морате поново покренути сервер

Онемогући ССЛв2 (Виндовс 2008 / Сервер и новији)

ОС-ови пре Виндовс 7 / Виндовс Сервер 2008 Р2 подразумевали су још мање сигуран и наслеђен протокол ССЛ в2, који би такође требало бити онемогућен из безбедносних разлога (у новијим верзијама оперативног система Виндовс ССЛв2 на нивоу клијента је подразумевано онемогућен и користе се само ССЛв3 и ТЛС1.0). Да бисте онемогућили ССЛв2, морате поновити горњи поступак, само за кључ регистра ССЛ 2.0.

У Виндовс 2008/2012, ССЛв2 на нивоу клијента је подразумевано онемогућен.

Омогућите ТЛС 1.1 и ТЛС 1.2 у Виндовс Сервер 2008 Р2 и новијим верзијама

Виндовс Сервер 2008 Р2 / Виндовс 7 и новији подржавају алгоритме за шифровање ТЛС 1.1 и ТЛС 1.2, али су ови протоколи подразумевано онемогућени. Можете да омогућите подршку за ТЛС 1.1 и ТЛС 1.2 у овим верзијама Виндовс у сличном сценарију.

  1. У уређивачу регистра отворите подружницу ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ СецуритиПровидерс \ СЦХАННЕЛ \ Протоцолс
  2. Креирајте два одељка ТЛС 1.1 и ТЛС 1.2
  3. Унутар сваког одељка направите потпоглавље са именима Клијент и Сервер
  4. У сваком одељку клијента и сервера креирајте ДВОРД тастер:
    • ДисабледБиДефаулт са вредностима 0
    • Омогућено са вредностима 1
  5. Након промена, сервер би требало да се поново покрене..

Помоћни систем за управљање криптографским протоколом у систему Виндовс Сервер

Постоји бесплатан ИИС Црипто услужни програм који вам омогућава да лако управљате поставкама криптографских протокола у Виндовс Сервер 2003, 2008 и 2012. Помоћу овог услужног програма можете омогућити или онемогућити било који протокол шифрирања у само два клика..

Програм већ има неколико образаца који вам омогућавају да брзо примените унапред постављене поставке за различите безбедносне поставке.

Категорија