介绍
公司项目安全性检查,发现windows server 2012R2服务器上有图中四个高风险和中风险漏铜需要处理。![在这里插入图片描述](https://img-blog.csdnimg.cn/1d3735bc81224ae3bbda787af5fe45f0.png#pic_center)
CVE-2018-0886
![在这里插入图片描述](https://img-blog.csdnimg.cn/72adb40754154797a3d58de32b8a90fd.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70)
1、其中已经指出了解决办法,访问网址:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-0886,网址有可能会无法打开,需要在器官网上注册账户。
2、网址打开后,按照下图找到对应系统的补丁包
![在这里插入图片描述](https://img-blog.csdnimg.cn/00f7ddbd6a9440fab31f72412a7fe513.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70#pic_center)
![在这里插入图片描述](https://img-blog.csdnimg.cn/ef9cc891cc1f4a28a0bfa25f1281135f.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70#pic_center)
![在这里插入图片描述](https://img-blog.csdnimg.cn/4c78d574af9c4ce19dc90dc700bef200.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70#pic_center)
之后将下载的文件在服务器上双击执行就完成。
如果出现其他问题,可参考这篇文章:https://www.cnblogs.com/stars-one/p/14589698.html,这位大佬写的很详细
CVE-2016-2183
![在这里插入图片描述](https://img-blog.csdnimg.cn/781238156a654bc6bcadf12900328af9.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70)
在网上找了好多大神的文章发现有以下几种处理办法:
方法一:使用Windows自带的FIPS代替SSL加密
1、启用FIPS
操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到"系统加密:将FIPS兼容算法用于加密、哈希和签名"选项->右键"属性"->在"本地安全设置"下,选择"已启用(E)",点击"应用"、“确定”,即可。
![在这里插入图片描述](https://img-blog.csdnimg.cn/0ac16c21c4c6427bb3c3455282332d85.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70)
2、禁用SSL密码套件
操作步骤:按下’ Win + R’,进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"->计算机配置->网络->SSL配置设置->在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已禁用(D)" ,点击"应用"、“确定”,即可。
![在这里插入图片描述](https://img-blog.csdnimg.cn/d6eaf08a315c483b839f1d02efee43f0.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70)
3、删除默认CA认证书
操作步骤:按下’Win + R’,进入"运行",键入"mmc",打开"管理控制台"->“文件”->“添加/删除管理单元(M)”->在"可用的管理单元"下选择"证书"->单击"添加"->在"证书管理单元"中选择"计算机用户(C)",点击"下一步"->在"选择计算机"中选择"本地计算机(运行此控制台的计算机)(L)",单击"完成"->回到"添加/删除管理单元",单击"确定"->回到"控制台"->“证书(本地计算机)”->“远程桌面”->“证书”->在默认证书上右键"删除"即可。
![在这里插入图片描述](https://img-blog.csdnimg.cn/8b4ecd9316da4742a8aebb2512beeac9.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70)
按照以上步骤完成后,发现问题没有完全处理,用工具测试后还是会报这个是中风险,之后采用了如下方法。
方法二:升级SSL加密CA证书
操作步骤:按下’ Win + R’,进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"->计算机配置->网络->SSL配置设置->在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已启用(E)" ,在"SSL密码套件"下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
就是在方法一中的第二步,不选择已禁用,选择一已启用,将原有的密码套件修改
注意:修改内容也可按照"SSL密码套件顺序"界面中,右下角提供的内容修改
原有的密码套件:
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA
修改后的:
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
修改内用需要遵循如下规定:
![在这里插入图片描述](https://img-blog.csdnimg.cn/486d98243ff14d8ba4c68b6097474fd5.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTk0NTUwNg==,size_16,color_FFFFFF,t_70)
按照方法二,重新服务器后,测试问题已修复
CVE-2013-2566,CVE-2015-2808
这两个漏洞的处理方法,就是按照CVE-2016-2183中的方法一的第一步处理就可以了
修复完成后,注意重启服务器