最近,我的PCI评估员告诉我,我的服务器容易受到BEAST的影响,使我失败了。 我做了功课,我想改变我们的networking服务器,selectCBC的RC4密码。 我跟着我find的每一个指南
我改变了我的弱密钥128比特encryption到Enabled = 0.完全删除了较弱的encryption注册密钥。 我下载了IISCrypto并取消了除RC4 128密码和三重DES 168之外的所有内容。
我的networking服务器仍然偏爱AES-256SHA。 在IIS 6.0中有一个技巧,让你的networking服务器更喜欢RC4密码,我不明白? 看起来像在IIS 7中,他们很容易修复,但现在没有帮助我!
关于BEAST缓解的MSDN文章
从上面的链接:
注:不幸的是,上述解决scheme不适用于Windows Server 2003 / Windows XP,密码套件prority是硬编码。 在Windows Server 2003上,他们可能需要禁用基于CBC的密码。 但是这可能会导致与试图连接到这些服务器的客户端不兼容。
另外值得注意的是,如果SSL只用于网站(电子邮件客户端,vpn等)以外的东西,则不易受到BEAST攻击。 客户端必须连接浏览器。
MS12-006实施了一种减轻XP / 2003计算机的BEAST的方法,但某些客户端应用程序可能有问题。 有关详细信息,请参阅此MSDN文章。