IIS पर, मैं SSL 3.0 POODLE भेद्यता (CVE-2014-3566) को कैसे पैच करूँ?

मैं IIS चल रहे Windows Server 2012 सिस्टम पर CVE-2014-3566 को कैसे पैच करूं ?

क्या Windows अद्यतन में कोई पैच है, या मुझे SSL 3.0 को अक्षम करने के लिए रजिस्ट्री परिवर्तन करना है ?

कोई "पैच" नहीं है। यह प्रोटोकॉल में भेद्यता है, कार्यान्वयन में बग नहीं।

Windows Server 2003 से 2012 R2 में एसएसएल / टीएलएस प्रोटोकॉल रजिस्ट्री सेट में झंडे द्वारा नियंत्रित किए जाते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols।

SSLv3 को अक्षम करने के लिए, जो POODLE भेद्यता से चिंतित है, उपरोक्त स्थान पर एक उपकुंजी बनाएं (यदि यह पहले से मौजूद नहीं है) नाम दिया गया है SSL 3.0और, इसके तहत, एक उपकुंजी नाम Server(यदि यह पहले से मौजूद नहीं है)। इस स्थान पर ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server) नामक एक DWORD मान बनाएँ Enabledऔर इसे सेट पर छोड़ दें 0।

SSL 2.0 को अक्षम करना, जो आपको भी करना चाहिए, उसी तरह से किया जाता है, सिवाय इसके कि आप SSL 2.0उपरोक्त रजिस्ट्री पथ में एक कुंजी का उपयोग कर रहे हैं ।

मैंने सभी संस्करणों का परीक्षण नहीं किया है, लेकिन मुझे लगता है कि यह मान लेना सुरक्षित है कि इस परिवर्तन को प्रभावी करने के लिए एक रिबूट आवश्यक है।

बस स्थापना में आसानी के लिए मैंने ऊपर दिए गए इवान के उत्तर से यह "अक्षम ssl 2 और 3.reg" फ़ाइल प्राप्त की :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

SSL2 और SSL3 को अक्षम करने का अधिकार:

2..3 | %{ New-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL $_.0\Server" -Name Enabled -PropertyType "DWORD" -Value 0 -Force }

नार्टैक से एक मुफ्त उपयोगिता है जिसे आप प्रोटोकॉल को अक्षम करने के लिए उपयोग कर सकते हैं।

https://www.nartac.com/Products/IISCrypto/Default.aspx

यहां एक PowerShell है जो रजिस्ट्री कुंजियों की उपस्थिति के लिए परीक्षण करेगा, यदि आवश्यक हो तो उन्हें बना सकता है, और फिर SSL 2.0 और SSL 3.0 को अक्षम करने के लिए आवश्यक मान दर्ज करें

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'


If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
   New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force 

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}

If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
   New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force

इसे SCCM या कमांड लाइन का उपयोग करके तैनात किया जा सकता है - बस SCCM जॉब या कमांड लाइन को प्रशासक के रूप में चलाना सुनिश्चित करें। रजिस्ट्री जानकारी वाली कुछ वेबसाइट दर्शाती हैं कि रजिस्ट्री कुंजियाँ बनाने और / या संशोधित करने के बाद रिबूट की आवश्यकता होती है।

या IISCrypto की एक प्रति पकड़ो और सर्वोत्तम प्रथाओं बटन पर क्लिक करें, फिर SSL 3.0 को अनचेक करें और फिर लागू करें, फिर रिबूट करें

आपको SSL3 को अक्षम करने की आवश्यकता नहीं है। आप एसएसएल 3 को सक्षम कर सकते हैं और पाले को कम कर सकते हैं ।

# Copy and paste this in PowerShell then restart your server
$cipherSuitesOrder = @(
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',
    'TLS_RSA_WITH_AES_128_CBC_SHA256',
    'TLS_RSA_WITH_AES_128_CBC_SHA',
    'TLS_RSA_WITH_AES_256_CBC_SHA256',
    'TLS_RSA_WITH_AES_256_CBC_SHA',
    'TLS_RSA_WITH_RC4_128_SHA',
    'TLS_RSA_WITH_3DES_EDE_CBC_SHA',
    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384'
)
$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)
New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' \
-name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

इन सेटिंग्स के साथ आपके पास अभी भी IE6 समर्थन होगा (SSL4 के साथ RC4 का उपयोग करके) और स्वीकार्य कॉन्फ़िगरेशन सुरक्षा की तुलना में अधिक है। केवल IE6 और वास्तव में पुराने ग्राहक SSLv3 या RC4 सिफर का उपयोग करेंगे।

एक अच्छी PowerShell स्क्रिप्ट है जो IIS 7.5 और 8 कॉन्फ़िगरेशन के साथ मदद करती है:

यह पॉवरशेल स्क्रिप्ट आपके Microsoft इंटरनेट सूचना सर्वर 7.5 और 8.0 (IIS) को TLS 1.1 और TLS 1.2 प्रोटोकॉल को फॉरवर्ड सिक्योरिटी के साथ सेटअप करती है। इसके अतिरिक्त यह असुरक्षित SSL2 और SSL3 और सभी असुरक्षित और कमजोर सिफर को अक्षम करके आपके एसएसएल कनेक्शनों की सुरक्षा को बढ़ाता है, जो कि एक ब्राउज़र भी गिर सकता है। यह स्क्रिप्ट मौजूदा सर्वोत्तम अभ्यास नियमों को लागू करती है।

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12