最近漏洞扫描发现主机存在CVE-2016-2183,网上教程基本都是修复后需要重启,本着服务器能不重启就不重启原则,查了微软官网和阿里云漏洞库相关介绍,整理了一份不需要重启的漏洞修复指南,亲测有效。
CVE-2016-2183 漏洞涉及 SSL/TLS 协议中使用的短块加密算法(例如 DES 和 3DES),这些算法因存在安全风险而受到关注,如 Sweet32 攻击。在 Windows Server 环境中,此漏洞可能影响使用远程桌面协议 (RDP) 或 HTTPS 服务的情况。
nmap -p 3389 --script ssl-enum-ciphers 指定IP
Windows一般为3389远程桌面或443使用加密套件,因此通过nmap的ssl-enum-ciphers脚本来扫描远程服务器支持的SSL/TLS加密算法
nmap扫描结果建议禁用或避免使用3DES、RC4以及使用MD5进行消息完整性校验的密码套件
根据漏洞原理、Nmap建议以及 Microsoft 官方文档整理如下:
·按 Win + R 键,输入 regedit,然后按 Enter。在注册表编辑器中,导航到以下路径:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCipheres
·在 Ciphers 文件夹下,为以下每个易受攻击的加密算法创建一个新的 DWORD(32位)值,并将其值设置为 0(禁用):
·(可选)禁用弱哈希算法:在 SCHANNELHashes 文件夹下,可以禁用 MD5:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELHashes为 MD5 创建一个新的 DWORD(32位)值,并将其值设置为 0。
注意事项:对“CIPHERS”项或“HASHES”项的任何内容更改都将立即生效,无需重启系统。
在进行任何系统更改之前,请确保备份整个系统或至少备份注册表。
https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
https://avd.aliyun.com/detail?id=AVD-2016-2183
原文始发于微信公众号(网络个人修炼):CVE-2016-2183 windows漏洞修复指南
评论