遇到的漏洞为
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】
解决方案为
漏洞修复参考链接:https://www.cnblogs.com/zcg-cpdd/p/14504490.html
一、CVE-2016-2183漏洞解决
使用此方法上述所有漏洞可全部修复(将RC4,DES/3DES,EXP等弱加密算法及SSL弱加密协议替换为安全性更高的)
1、按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"
2、计算机配置>管理模板>网络>ssl配置设置。
3、在SSL配置设置,打开SSL密码套件顺序设置,点击已启用。
4、更换SSL密码套件。
新SSL密码套件
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
二、CVE-2015-2808和CVE-2013-2566漏洞解决
控制面板--->系统和安全--->管理工具--->本地安全策略--->本地策略--->安全选项--->系统加密:将FIPS兼容算法用于加密、哈希和签名; 右键--->属性--->点击“已启用”--->“确定”
漏洞解决。。
==========
漏洞修复以后, 分别出现了下面的问题
问题1: 出现sql server数据库无法访问的错误
错误描述:
(provider: SSL Provider, error: 0)因为算法不同,客户端和服务器无法通信
解决办法:
主要是因为上面的网站给出的新SSL密码套件有问题,替换为下面的新ssl密码套件,错误修复
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
参考链接: https://www.cnblogs.com/xyb0226/p/14205536.html
问题2: 网站访问出现: 此实现不是 Windows 平台 FIPS 验证的加密算法的一部分 错误
解决办法:
按Win+R(或点击开始-运行),并输入regedit后确定,启动注册表编辑器。
浏览到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy,将Enabled的值改为0
关闭注册表编辑器后,重启服务器。
已有 21116 位网友参与,快来吐槽:
主要是因为上面的网站给出的新SSL密码套件有问题,替换为下面的新ssl密码套件,错误修复TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384, 这里第一个,好像不对 。
发表评论