当我们的系统被安全扫描时,它会产生弱密码错误,并指出他们使用SSLv2进行通信的事实。 我们的想法是禁用SSLv2系统范围,而不是每个应用程序,因为有大约20个左右的违规端口,并追查什么应用程序在哪个端口上可能是一个耗时的过程。
我们添加了registry项: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server ,并将DWORD值设置为0
这似乎阻止了一些应用程序使用SSLv2作为端口443而不是其他任何端口,例如SPLUNK 8089 。 此外,用于LDAP的端口636和3269根本不使用SSLv2,而是TLS,仍然是安全发现。
这是设置一个系统范围的设置,还是只对Windows服务有影响? 如果我们强迫应用程序使用SSLv3,我们应该能够通过弱密码。 有任何想法吗?
根据我的理解,该registry设置只影响在服务器上使用schannel.dll进行SSL的服务/ exes。 如果有其他Web服务(如splunk)不依赖于该dll的SSL,则必须参阅供应商文档以了解如何为该应用程序禁用弱SSL密码。
仔细查看636和3269上LDAP的发现,并确保它不仅仅是一个信息发现。 我相信那些使用schannel也会受到已经定义的registry设置的影响。