介绍
公司项目安全性检查,发现windows server 2012R2服务器上有图中四个高风险和中风险漏铜需要处理。
CVE-2018-0886
1、其中已经指出了解决办法,访问网址:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-0886,网址有可能会无法打开,需要在器官网上注册账户。
2、网址打开后,按照下图找到对应系统的补丁包
之后将下载的文件在服务器上双击执行就完成。
如果出现其他问题,可参考这篇文章:https://www.cnblogs.com/stars-one/p/14589698.html,这位大佬写的很详细
CVE-2016-2183
在网上找了好多大神的文章发现有以下几种处理办法:
方法一:使用Windows自带的FIPS代替SSL加密
1、启用FIPS
操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到"系统加密:将FIPS兼容算法用于加密、哈希和签名"选项->右键"属性"->在"本地安全设置"下,选择"已启用(E)",点击"应用"、“确定”,即可。
2、禁用SSL密码套件
操作步骤:按下’ Win + R’,进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"->计算机配置->网络->SSL配置设置->在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已禁用(D)" ,点击"应用"、“确定”,即可。
3、删除默认CA认证书
操作步骤:按下’Win + R’,进入"运行",键入"mmc",打开"管理控制台"->“文件”->“添加/删除管理单元(M)”->在"可用的管理单元"下选择"证书"->单击"添加"->在"证书管理单元"中选择"计算机用户(C)",点击"下一步"->在"选择计算机"中选择"本地计算机(运行此控制台的计算机)(L)",单击"完成"->回到"添加/删除管理单元",单击"确定"->回到"控制台"->“证书(本地计算机)”->“远程桌面”->“证书”->在默认证书上右键"删除"即可。
按照以上步骤完成后,发现问题没有完全处理,用工具测试后还是会报这个是中风险,之后采用了如下方法。
方法二:升级SSL加密CA证书
操作步骤:按下’ Win + R’,进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"->计算机配置->网络->SSL配置设置->在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已启用(E)" ,在"SSL密码套件"下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
就是在方法一中的第二步,不选择已禁用,选择一已启用,将原有的密码套件修改
注意:修改内容也可按照"SSL密码套件顺序"界面中,右下角提供的内容修改
原有的密码套件:
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA
修改后的:
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
修改内用需要遵循如下规定:
按照方法二,重新服务器后,测试问题已修复
CVE-2013-2566,CVE-2015-2808
这两个漏洞的处理方法,就是按照CVE-2016-2183中的方法一的第一步处理就可以了
修复完成后,注意重启服务器