有一台windows server 2022主機, 被弱點掃描軟體Nessus,掃出SSL Medium Strength Cipher Suites Supported (SWEET32),Reconfigure the affected application if possible to avoid use of medium strength ciphers.
SWEET32 (CVE-2016-2183) 弱點主要是針對 64 位元區塊加密演算法 (64-bit block ciphers) 的攻擊,而 3DES 與 DES 正是這類受影響的加密套件。
在 Windows Server 2022 中,要徹底修復這項弱點,核心動作就是停用 3DES 加密。
處理方式:
1. 核心修復動作:修改 Registry 註冊表
這是最直接且標準的做法,透過修改 Schannel(Windows 的安全通道)設定來停用 3DES。
開啟 Registry Editor (regedit)。
導覽至以下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
在 Ciphers 下方建立一個名為 Triple DES 168/168 的子機碼(如果不存在)。
在 Triple DES 168/168 下,建立兩個 DWORD (32-bit) 值:
Enabled:數值資料設為 0
DisabledByDefault:數值資料設為 1
針對 DES(如果存在),也在 Ciphers 下建立名為 DES 56/56 的子機碼,並重複上述步驟。
提醒: 修改完成後,務必重新啟動伺服器,這項變更才會真正被載入系統記憶體中。
這樣處理後,Nessus 的 Medium Strength Cipher (SWEET32) 警示就會消失。
沒有留言:
張貼留言