ב- IIS 7 (ו- 7.5) יש לעשות שני דברים:

1. נווט אל: התחל> 'gpedit.msc'> תצורת מחשב> תבניות מנהל מערכת> רשת> הגדרות תצורת SSL> הזמנת חבילת SSL צופן (בחלונית הימנית לחץ לחיצה כפולה לפתיחה). יש, להעתיק ולהדביק את הבאה (ערכים מופרדים באמצעות פסיק אחד, לוודא שאין גלישת קו):

   TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_RC4_128_MD5, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE _DSS_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

2. הפעל את הפקודות הבאות PowerShell כמנהל (קופי-פייסט לתוך פנקס רשימות, שמירה בשם "תיקון-חיה-in- iis.ps1 'והפעל עם הרשאות מוגברות):

     #make TSL 1.2 reg protocol reg keymd "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2" md "HKLM : \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server "md" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client "# אפשר TLS 1.2 ללקוח ולשרת SCHANNEL תקשורת
   מסלול חדש-פריט-נכס "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server" -name "Enabled" -value 1 -PropertyType "DWord" new-itemproperty -path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server "-name" DisabledByDefault "-value 0 -PropertyType" DWord "new-itemproperty -path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNS \ TLs 1.2 \ לקוח "-שם" מופעל "-ערך 1 -מאפיין סוג" DWord "חדש פריט נכס -נתיב" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client "-value" DisabledByDefault " 0 -מאפיין סוג "DWord" # הפוך והפעל TLS 1.1 עבור לקוח ושרת תקשורת SCHANNEL "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1" md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ פרוטוקולים \ TLS 1.1 \ שרת "md" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Prot ocols \ TLS 1.1 \ לקוח "new-itemproperty -path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server "-name" Enabled "-value 1 -PropertyType" DWord "נכס פריט חדש - נתיב "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord" new-itemproperty -path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Client "-name" Enabled "-value 1 -PropertyType" DWord "new-itemproperty -path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Client " -name "DisabledByDefault" -ערך 0 -מאפיין סוג "DWord" # השבת SSL 2.0 (תאימות PCI) md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server" מסלול נכס חדש-פריט "HKLM : \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server "-name Enabled -value 0 -PropertyType" DWord " 

o>

לאחר שהפעלת את הסקריפט, תוכל להפעיל 'regedit' ולוודא שהמפתחות בתסריט אכן נוצרו כהלכה. לאחר מכן אתחל מחדש כדי שהשינוי ייכנס לתוקף.

אזהרה: שים לב שלא כיביתי את SSL 3.0 - הסיבה לכך נובעת מכך שכבר או לא, עדיין יש אנשים שם באמצעות Windows XP עם IE 6/7. ללא SSL 3.0 מופעל, לא יהיה שום פרוטוקול לאנשים האלה לחזור בו. אמנם אתה עדיין לא יכול לקבל מושלם בסריקת מעבדות SSL של Qualys, אך את רוב החורים יש לסגור על ידי ביצוע השלבים הקודמים. אם אתה מעוניין בתאימות PCI מוחלטת, תוכל להעתיק את השורות מהקטע Disable SSL 2.0 בסקריפט Powershell, להדביק אותן בסוף הסקריפט ולשנות אותן לדברים הבאים: SSL 3.0 (תאימות PCI) md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 3.0 \ Server" new-itemproperty -path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ פרוטוקולים \ SSL 3.0 \ Server "-name Enabled -value 0 -PropertyType" DWord "

ואז, כאשר אתה מריץ את הסקריפט, אתה משבית SSL 2.0, SSL 3.0 ומאפשר TLS 1.1 ו- 1.2.

בדיוק פרסמתי עדכון ל- IIS Crypto שהוא כלי חינמי שמגדיר את מפתחות הרישום של schannel ומציב את RC4 בראש סדר ההזמנה לצפנת SSL בלחיצה אחת. פעולה זו מקלה על מתקפת ה- BEAST על Windows Server 2008 ו- 2012.

ככל ש הסיכויים בפועל נראה שקשה לומר. בעוד כלים כמו מעבדות SSL מדווחים על כך בעדיפות גבוהה, אני לא מודע להתקפות אמיתיות שמנצלות את זה בטבע, ומתוך הבנתי (המצומצמת מאוד) כיצד פועלת ההתקפה, זה די מסובך לביצוע ויש הרבה מראש דרישות להפוך את זה לאיום ממשי. כבר קישרת להרבה משאבים, כך שאין טעם לחזור על מה שכבר מכוסה.

באשר להגדרת תצורה של IIS 7 לשימוש ב- RC4, אולי PDF זה יכול לעזור?

השבתת כל מה ש- "RC4" באמצעות IIS Crypto מותר לעבור בדיקת תאימות PCI בשרת 2008 / IIS 7.0

קובץ הרישום הבא ישבית את SSLv2 & SSLv3 ברוב היישומים של Windows.

צור קובץ .reg עם הפרטים הבאים והפעל אותו.

  גרסת עורך הרישום של Windows 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ פרוטוקולים \ SSL 3.0] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ פרוטוקולים \ SSL 3.0 \ לקוח] "DisabledByDault_DialD = 00_DATA: \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ פרוטוקולים \ SSL 3.0 \ שרת] "מופעל" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0] [HKEY_LOCAL_MACHINECont \ SYSTEM SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Client] "DisabledByDefault" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server] "מופעל" = dword: 00000000  

הדרך הקלה ביותר עבורך לאמת היא u לשיר שוב מעבדות SSL או לבדוק באמצעות OpenSSL. לא שווה דבר שחלק מהגרסאות של OpenSSL אינן תומכות בגרסת SSL 2.

OpenSSL 0.9.8t כן תומכת בה והיא הגרסה שאני משתמש בה לבדיקה.

openssl s_client -connect subdomain.domain.tld: 443 -ssl2

זו הפקודה go to שלי כדי לבדוק אם קיימים צופי חסימות שרשרת באמצעות openssl. הרעיון הוא שלא נקבל קשר עם אף אחד מאלה.

openssl s_client -connect subdomain.domain.tld: 443 -tls1 -cipher SRP- DSS-AES-256-CBC-SHA: SRP-RSA-AES-256-CBC-SHA: SRP-AES-256-CBC-SHA: PSK-AES256-CBC-SHA: SRP-DSS-AES-128-CBC- SHA: RP-RSA-AES-128-CBC-SHA: SRP-AES-128-CBC-SHA: IDEA-CBC-SHA: PSK-AES128-CBC-SHA: SRP-DSS-3DES-EDE-CBC-SHA: SRP-RSA-3DES-EDE-CBC-SHA: SRP-3DES-EDE-CBC-SHA: PSK-3DES-EDE-CBC-SHA: EDH-RSA-DES-CBC-SHA: EDH-DSS-DES-CBC- SHA: DH-RSA-DES-CBC-SHA: DH-DSS-DES-CBC-SHA: DES-CBC-SHA