Windows伺服器中防禦LOGJAM攻擊與Sweet32攻擊

​​Windows伺服器中防禦LOGJAM攻擊與Sweet32攻擊javascript:void(0)​​

LOGJAM 攻擊是一個 SSL/TLS 漏洞，允許攻擊者攔截易受攻擊的用戶端和伺服器之間的 HTTPS 連接配接， 并強制它們使用“導出級”加密，然後可以對其進行解密或更改。發現網站支援 DH(E) 導出密碼套件， 或使用小于 1024 位的 DH 素數或最大 1024 位的常用 DH 标準素數的非導出 DHE 密碼套件時，會發出 此漏洞警報。

Sweet32 攻擊是一個 SSL/TLS 漏洞，允許攻擊者使用 64 位分組密碼破壞 HTTPS 連接配接。

這兩個攻擊都指向了對低版本的 SSL/TLS與低版本的加密算法,在微軟官方文檔中也指出了禁用方案,下面是禁用的方法

一、禁用與啟用SSL/TLS協定

在系統資料庫中的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 路徑下找到或建立相應協定版本的項

SSL 1.0
SSL 2.0
SSL 3.0
TLS 1.0
TLS 1.1
TLS 1.2
TLS 1.3      

并在其下建立 Server 與 Client 項

在Server與Client中建立 DWORD（32位）值 如下

1 DisabledByDefault [Value = 1]

2 Enable [Value = 0]

如下圖：

二、禁用弱密碼套件

 在系統資料庫中的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers 路徑下找到或建立相應協定版本的項

RC4 128/128
Triple DES 168
RC2 128/128
RC4 64/128
RC4 56/128
RC2 56/128
DES 56/56
RC4 40/128
RC2 40/128
NULL      

并在其中建立建立 DWORD（32位）值 如下

Enabled [Value = 0]

如果是Windows Vista及以上版本還可以使用以下下方法

通過在組政策對象編輯器中修改 SSL 密碼套件順序，您可以禁用 Windows Vista 及更高版本系統中的 RSA 密鑰交換。

注意 安裝此更新 (3046049) 可以防止公告中描述的漏洞。如果想使用先前禁用的任何密碼，則之前已經實施了此變通方法的使用者将需要執行以下步驟來撤消此變通方法。

若要禁用 RSA 密鑰交換密碼，您必須執行以下步驟來指定 Windows 應使用的密碼：

1. 在指令提示符下，鍵入 gpedit.msc，并按 Enter 鍵來啟動“組政策對象編輯器”。
2. 依次展開**“計算機配置”、“管理模闆”、“網絡”**，然後單擊“SSL 配置設定”。
3. 在“SSL 配置設定”下，單擊“SSL 密碼套件順序”設定。
4. 在“SSL 密碼套件順序”視窗中，單擊“已啟用”。
5. 在**選項:**窗格中，輕按兩下以突出顯示“SSL 密碼套件”字段的全部内容，然後使用以下密碼清單替換其内容：

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
    TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
    TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
    TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA      

1. 單擊“确定”
2. 關閉組政策對象編輯器。

注意：以上操作後需要重新開機計算機使其生效。

• ​​Weak Diffie-Hellman and the Logjam Attack​​
• ​​Guide to Deploying Diffie-Hellman for TLS​​
• ​​限制某些加密算法和協定在 Schannel.dll​​
• ​​TLS/SSL (Schannel SSP) 中的密碼套件​​
• ​​Schannel 中的漏洞可能允許繞過安全功能 (3046049)​​
• ​​Managing SSL/TLS Protocols and Cipher Suites for AD FS​​