Frage Wie packe ich auf IIS die SSL 3.0 POODLE-Sicherheitsanfälligkeit (CVE-2014-3566)?


Wie packe ich? CVE-2014-3566 Auf einem Windows Server 2012-System mit IIS?

Gibt es in Windows Update einen Patch oder muss ich das tun? eine Registrierungsänderung, um SSL 3.0 zu deaktivieren?


50
2017-10-15 15:08


Ursprung


Da ist ein Microsoft Fix it 50495 auf der MS KB-Seite, mit der Sie verknüpft sind. - MattBianco
Ich habe versucht, Fix it 50495 auf Windows 2008, und es ist mit Fehler "Diese Microsoft Fix es gilt nicht für Ihr Betriebssystem oder Anwendungsversion." Naja. - Josh


Antworten:


Es gibt keinen "Patch". Es ist eine Schwachstelle im Protokoll, kein Bug in der Implementierung.

In Windows Server 2003 bis 2012 R2 werden die SSL / TLS-Protokolle durch Flags in der Registrierungsdatenbank unter gesteuert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols.

Um SSLv3 zu deaktivieren, welches die POODLE-Schwachstelle betrifft, erstelle einen Unterschlüssel am obigen Ort (wenn er nicht bereits vorhanden ist) SSL 3.0 und, darunter, ein Unterschlüssel mit dem Namen Server (wenn es nicht schon vorhanden ist). An diesem Ort (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server) Erstellen Sie einen DWORD-Wert mit dem Namen Enabled und lassen Sie es eingestellt 0.

Das Deaktivieren von SSL 2.0, das Sie ebenfalls durchführen sollten, erfolgt auf die gleiche Weise, nur dass Sie einen Schlüssel mit dem Namen verwenden SSL 2.0 im obigen Registrierungspfad.

Ich habe nicht alle Versionen getestet, aber ich denke, es ist wahrscheinlich davon auszugehen, dass ein Neustart erforderlich ist, damit diese Änderung wirksam wird.


56
2017-10-15 18:26



Neustart nicht notwendig auf Windows Server 2012 mindestens. Sie können vorher und nachher überprüfen poodlebleed.de durch Eingabe Ihrer URL und 443 für den SSL-Port - Simon
Danke, Weißt du, ob ich PCT auch deaktivieren sollte, da es angeblich standardmäßig deaktiviert und auf diese Weise nicht deaktiviert ist? - Mark Broadhurst
@Simon, muss noch etwas getan werden, damit die Änderungen wirksam werden? Ich habe gerade die Registrierungsaktualisierungen auf einem Server 2012-Computer vorgenommen, es wird jedoch immer noch gemeldet, dass SSL3 aktiviert ist. - Abe Miessler
Das glaube ich nicht. Ich gehe davon aus, dass Sie IIS und meinen Apache verwenden und Sie haben diese Website überprüft. Und Sie sind sicher, dass Sie den richtigen Registrierungsschlüssel haben? - Simon
* NICHT Apache (Ich weiß nicht wo 'mein Apache' herkam!) - Simon


Nur um die Installation zu erleichtern, habe ich diese Datei "disable ssl 2 and 3.reg" von Evans Antwort oben:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

23
2017-10-17 01:23





Powershell zum Deaktivieren von SSL2 und SSL3:

2..3 | %{ New-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL $_.0\Server" -Name Enabled -PropertyType "DWORD" -Value 0 -Force }

11
2017-10-28 21:21



Leider funktioniert das obige nur, wenn die Registrierungsunterschlüssel bereits vorhanden sind. Wäre schön PS zu sehen, die sie erstellen können, wenn sie nicht existieren, oder sie aktualisieren, wenn sie es tun. - Jaans
Bist du sicher? Meine schafft sie für mich. In kleineren Versionen von Powershell und Windows (ich verwende v2 auf Server 2008 R2) - Vasili Syrakis
Yup ... siehe Screenshot hochgeladen zu: i.imgur.com/rctFH4D.png Verwenden von PS 3.0 und WSMan 3.0. - Jaans


Es gibt ein kostenloses Dienstprogramm von Nartac, mit dem Sie die Protokolle deaktivieren können.

https://www.nartac.com/Products/IISCrypto/Default.aspx


8
2017-10-20 15:44



Dieses Tool ist großartig, danke für das Posten - bladefist


Hier ist eine PowerShell, die auf das Vorhandensein der Registrierungsschlüssel prüft, sie bei Bedarf erstellt und dann die erforderlichen Werte eingibt, um SSL 2.0 und SSL 3.0 zu deaktivieren

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'


If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
   New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force 

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}

If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
   New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force

Dies kann mithilfe von SCCM oder der Befehlszeile implementiert werden. Stellen Sie jedoch sicher, dass Sie den SCCM-Job oder die Befehlszeile als Administrator ausführen. Einige Websites mit den Registrierungsinformationen weisen darauf hin, dass ein Neustart erforderlich ist, nachdem die Registrierungsschlüssel erstellt und / oder geändert wurden.


7
2017-10-21 18:47





Oder nehmen Sie eine Kopie von IISCrypto und klicken Sie auf die Best Practices-Schaltfläche, deaktivieren Sie dann SSL 3.0 und wenden Sie dann an und starten Sie den Computer neu


3
2017-12-15 23:22





Sie müssen SSL3 nicht deaktivieren. Sie können SSL3 aktivieren und haben POODLE gemildert.

# Copy and paste this in PowerShell then restart your server
$cipherSuitesOrder = @(
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',
    'TLS_RSA_WITH_AES_128_CBC_SHA256',
    'TLS_RSA_WITH_AES_128_CBC_SHA',
    'TLS_RSA_WITH_AES_256_CBC_SHA256',
    'TLS_RSA_WITH_AES_256_CBC_SHA',
    'TLS_RSA_WITH_RC4_128_SHA',
    'TLS_RSA_WITH_3DES_EDE_CBC_SHA',
    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384'
)
$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)
New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' \
-name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

Mit diesen Einstellungen haben Sie immer noch IE6-Unterstützung (mit SSLv3 mit RC4) und haben eine mehr als akzeptable Konfiguration der Sicherheit. Nur IE6 und wirklich alter Client würden SSLv3 oder RC4 Chiffren verwenden.


2
2018-05-27 09:40