Текущее состояние крипто безопасности в Windows системах


Краткие замечания.

Exchange self-signed certificate начиная с CU13 будет SHA2

https://blogs.technet.microsoft.com/exchange/2016/06/21/released-june-2016-quarterly-exchange-updates/

https://blogs.technet.microsoft.com/rmilne/2016/07/20/exchange-self-signed-sha2-certificates/

Exchange TLS & SSL Best Practices – до сих пор не рекомендуется выключение TLS 1.0 из-за наличия большого количества устаревшего ПО (клиентов и серверов) – смотрите статистику на SSLLabs
(можно используя популярный инструмент для тестирования IIS Crypto).

RC4 will no longer be supported in Microsoft Edge and IE11 [Updated]
Из клиентов RC4 удалили, но в Schannel осталось и иные приложения могут использовать RC4 напрямую. Поэтому отключать надо на уровне Schannel.

Рекомендации по изменению приоритета Cipher Suites теперь приезжают в виде обновления с июня 2016 года Update to add new cipher suites to Internet Explorer and Microsoft Edge in Windows

(Интересный кейс с побочным эффектом на сертификат Schannel Errors Event ID 36888 after installing KB3042058 после изменения приоритета Cipher Suites)

Реализация рекомендованных настроек

Основное руководство How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll

Тестируем с помощью SSLLabs и получаем дополнительные рекомендации.

Для настройки множества серверов используем Group Policy Preferences.

(Серверы 2008 R2 требуют перезагрузки для применения параметров).

Отключение Diffie-Hellman ephemeral (DHE)

https://technet.microsoft.com/en-us/library/security/ms15-055.aspx?f=255&MSPPError=-2147217396

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ KeyExchangeAlgorithms\Diffie-Hellman]

«Enabled»=dword:00000000

Отключение RC4
Microsoft security advisory: Update for disabling RC4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

«Enabled»=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

«Enabled»=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

«Enabled»=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

«Enabled»=dword:00000000

Отключение SSL 3.0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

«Enabled»=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

«Enabled»=dword:00000000

Для Windows Server 2008 R2 включаем TLS 1.1 и TLS 1.2:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

» DisabledByDefault «=dword:00000000

«Enabled»=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ TLS 1.1\Server]

» DisabledByDefault «=dword:00000000

«Enabled»=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

» DisabledByDefault «=dword:00000000

«Enabled»=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ TLS 1.2\Server]

» DisabledByDefault «=dword:00000000

«Enabled»=dword:00000001

Плюс отключаем небезопасное «переключение» протоколов (Insecure Client-Initiated Renegotiation)

https://support.microsoft.com/en-us/kb/977377

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

«DisableRenegoOnClient»=dword:00000001

«DisableRenegoOnServer»=dword:00000001

Результат:

Реклама

комментария 2

  1. Нам еще чтобы выйти на уровень A пришлось еще задействовать Enable TLS Forward Secrecy — https://tmgblog.richardhicks.com/2014/08/28/enable-tls-forward-secrecy-for-forefront-tmg-2010-published-web-sites/

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: