某些版本的Windows Server(包括使用IIS 7的Windows Server 2008)默认允许SSL 2.0和SSL 3.0。遗憾的是,这些是不安全的协议,如果不禁用它们,您将无法通过PCI合规性扫描。要正确保护服务器并确保通过PCI-DSS扫描,您需要禁用SSL 2.0,SSL 3.0并禁用弱密码。其他算法也是不安全的,将来可能会弃用当前的算法。在确定要启用的协议和密码时,请务必遵循SSL部署最佳实践。
禁用不安全协议和密码的最简单方法是使用GUI。由于Windows不提供此类界面,因此您需要使用Nartac的IIS加密工具等工具来禁用不安全的选项。
要手动禁用SSL 2.0和SSL 3.0并确保使用更强大的TLS协议,请按照以下说明操作:
单击“ 开始”,单击“运行”,键入regedit,然后单击“ 确定”。
在注册表编辑器中,找到以下注册表项/文件夹:
HKey_Local_Machine \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols
右键单击SSL 2.0文件夹并选择“ 新建”,然后单击“ 密钥”。将新文件夹命名为Server。
在Server文件夹中,单击Edit菜单,选择New,然后单击DWORD(32位)Value。
输入Enabled 作为名称,然后按Enter键。
确保它在Data列下显示0x00000000(0)(默认情况下应该如此)。如果没有,请右键单击并选择“修改”,然后输入0作为“数值”数据。
现在要禁用SSL 3.0,右键单击SSL 3.0文件夹并选择New,然后单击Key。将新文件夹命名为Server。
在Server文件夹中,单击Edit菜单,选择New,然后单击DWORD(32位)Value。
输入Enabled 作为名称,然后按Enter键。
确保它在Data列下显示0x00000000(0)(默认情况下应该如此)。如果没有,请右键单击并选择“修改”,然后输入0作为“数值”数据。
重启服务器。
确认ServerSniff.net或公共SSL服务器数据库中没有可用的SSL 2.0或SSL 3.0密码
注意:此过程在IIS 6(Windows Server 2003)计算机上基本相同。通常,SSL 2.0下的服务器密钥已经创建,因此您只需要在其下创建一个新的DWORD值并将其命名为Enabled。
有关更多信息,请阅读Microsoft的知识库文章,了解如何在IIS 7中禁用SSL 2.0和其他协议。
除了禁用SSL 2.0之外,您还可以通过以相同方式编辑注册表来禁用某些弱密码。要加快此过程,可以将以下内容粘贴到文本文件中,并将其命名为disableWeakCiphers.reg,然后双击它。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 |
最初发布于2008年10月19日星期日