Bagaimana cara menambal CVE-2014-3566 pada sistem Windows Server 2012 yang menjalankan IIS?
Apakah ada tambalan di Pembaruan Windows, atau apakah saya harus melakukan perubahan registri untuk menonaktifkan SSL 3.0 ?
Bagaimana cara menambal CVE-2014-3566 pada sistem Windows Server 2012 yang menjalankan IIS?
Apakah ada tambalan di Pembaruan Windows, atau apakah saya harus melakukan perubahan registri untuk menonaktifkan SSL 3.0 ?
Jawaban:
Tidak ada "tambalan". Ini adalah kerentanan dalam protokol, bukan bug dalam implementasi.
Pada Windows Server 2003 hingga 2012 R2 protokol SSL / TLS dikendalikan oleh flag di set registri
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
.Untuk menonaktifkan SSLv3, yang terkait dengan kerentanan POODLE, buat subkunci di lokasi di atas (jika belum ada) bernama
SSL 3.0
dan, di bawah itu, subkunci bernamaServer
(jika belum ada). Di lokasi ini (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server
) buat nilai DWORD bernamaEnabled
dan biarkan set at0
.Menonaktifkan SSL 2.0, yang juga harus Anda lakukan, dilakukan dengan cara yang sama, kecuali bahwa Anda akan menggunakan kunci yang disebutkan
SSL 2.0
dalam jalur registri di atas.Saya belum menguji semua versi, tetapi saya pikir mungkin aman untuk mengasumsikan bahwa reboot diperlukan agar perubahan ini berlaku.
sumber
Hanya untuk kemudahan instalasi saya mendapatkan file "disable ssl 2 and 3.reg" ini dari jawaban Evan di atas :
sumber
Powershell untuk menonaktifkan SSL2 dan SSL3:
sumber
Ada utilitas gratis dari Nartac yang dapat Anda gunakan untuk menonaktifkan protokol.
https://www.nartac.com/Products/IISCrypto/Default.aspx
sumber
Berikut ini adalah PowerShell yang akan menguji keberadaan kunci registri, membuatnya jika diperlukan, dan kemudian memasukkan nilai yang diperlukan untuk menonaktifkan SSL 2.0 dan SSL 3.0
Ini dapat digunakan menggunakan SCCM atau baris perintah - pastikan untuk menjalankan pekerjaan SCCM atau baris perintah sebagai Administrator. Beberapa situs web dengan informasi registri menunjukkan bahwa reboot diperlukan setelah kunci registri dibuat dan / atau dimodifikasi.
sumber
Atau ambil salinan IISCrypto dan klik tombol praktik terbaik, lalu hapus centang SSL 3.0 dan kemudian terapkan, lalu reboot
sumber
Anda tidak harus menonaktifkan SSL3. Anda dapat mengaktifkan SSL3 dan POODLE dimitigasi .
Dengan pengaturan ini Anda masih akan memiliki dukungan IE6 (dengan SSLv3 menggunakan RC4) dan memiliki lebih dari sekadar keamanan konfigurasi yang dapat diterima. Hanya IE6 dan klien yang benar-benar lama yang akan menggunakan cipher SSLv3 atau RC4.
sumber
Ada skrip PowerShell yang baik yang membantu dengan konfigurasi IIS 7.5 & 8:
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
sumber