SSLTLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】解決說明

一.  修改SSL密碼套件

1.1  加固方法：

1.1.1  操做步驟：

第一步：按下' Win + R'，進入"運行"，鍵入" gpedit.msc"，打開"本地組策略編輯器"。

第二步：打開計算機配置->管理模板->網絡->SSL配置設置。

第三步：在"SSL密碼套件順序"選項上，右鍵"編輯"->在"SSL密碼套件順序"選在"已啓用（E）" 。

第四步：在"SSL密碼套件"下修改SSL密碼套件算法，僅保留TLS 1.2 SHA256 和 SHA384 密碼套件、TLS 1.2 ECC GCM 密碼套件（可先複製該選項原始數值並備份到記事本做回退備用，而後刪除原有內容替換爲TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256

點擊"應用"、"肯定"，並重啓系統實現修復。

 

第五步：最後重啓服務器。

1.1.2  修復結果驗證：

檢查前：

經過綠盟遠程安全評估系統掃描，發現SSLTLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】漏洞。

SSL在傳輸層對網絡鏈接進行加密。傳輸層安全TLS（Transport Layer Security），IETF對SSL協議標準化（RFC 2246）後的產物，與SSL 3.0差別很小。

當服務器SSL/TLS的瞬時Diffie-Hellman公共密鑰小於等於1024位時，存在能夠恢復純文本信息的風險。

 

 

加固後：

       經過以上提供的加固方法進行對服務器加固，再次掃描發現。

 

該漏洞已經修復完成。

1.2  回退方法：

       操做步驟：

第一步：按下' Win + R'，進入"運行"，鍵入" gpedit.msc"。

第二步：打開"本地組策略編輯器"->計算機配置->網絡->SSL配置設置。

第三步：在"SSL密碼套件順序"選項上，右鍵"編輯"->在"SSL密碼套件順序"選在"已啓用（E）" 。

第四步：在"SSL密碼套件"下修改SSL密碼套件算法，在內容裏面輸入以前做爲回退備用的記事本內數值，若當時沒有備份可參考輸入如下內容：（「TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA」 ）->點擊"應用"、"肯定"，便可。