在SSL或TLS中禁用弱密码

最新推荐文章于 2024-09-13 09:00:00 发布
最新推荐文章于 2024-09-13 09:00:00 发布
阅读量1k 收藏
点赞数
文章标签: ssl 网络 服务器 网络协议 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bzjoko/article/details/128786302
版权

image.png

为了提高安全性,您可以配置域策略 GPO(组策略对象),以确保运行 View Agent 或 Horizon Agent 的基于 Windows 的计算机在使用 SSL/TLS 协议进行通信时不会使用弱密码。

过程

  • 在 Active Directory 服务器上编辑 GPO,方法是选择开始 > 管理工具 > 组策略管理,右键单击 GPO,然后选择编辑。
  • 在组策略管理编辑器中,浏览到计算机配置 > 策略 > 管理模板 > 网络 > SSL 配置设置。
  • 双击 SSL 密码套件顺序。
  • 在“SSL 密码套件顺序”窗口中,单击已启用。
  • 在“选项”窗格中,将“SSL 密码套件”文本框的全部内容替换为以下密码列表:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA

为了便于查看,密码套件已分多行列在上方。将该列表粘贴到文本框中时,密码套件必须位于一行中,并且逗号后不含空格。

#原数据

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_RC4_128_MD5,
TLS_RSA_WITH_NULL_SHA256,
TLS_RSA_WITH_NULL_SHA,
SSL_CK_RC4_128_WITH_MD5,
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
  • 退出组策略管理编辑器。
  • 重新启动 View Agent 或 Horizon Agent 计算机以使新的组策略生效。

参考资料:在 SSL或TLS 中禁用弱密码

如何在 Windows 服务器禁用版本的 SSL/TLS 协议
mtiandlb
06-18 3908
如何使用 Windows PowerShell 禁用传输层安全性 (TLS) 和安全套接字层 (SSL) 协议的版本。当然,在禁用版本的 SSL / TSL 协议之前,您需要确保可以在您的系统上使用 TLS 1.2 协议。禁用 SSL 2.0 和 SSL 3.0。Windows 操作系统兼容的协议。系统与版本 TLS 1.2 兼容。禁用 TLS 1.0 和 1.1。禁用 SSL v3.0。启用 TLS 1.2。禁用 TLS 1.1。
Apache安全加固--修复SSL/TLS密码漏洞(危)和禁用TRACE/TRACK方法(高危)
weixin_34061555的博客
03-16 2344
先看看扫描到的漏洞截图下面是详细的操作解决方案(以下的配置经过了多次的修改才将漏洞真正修复完毕):安全配置一:[root@liulingli html]# find / -name .htaccess/var/www/html/wp-content/cache/autoptimize/.htaccessvim /var/www/html/wp-content/cache/au...
ssl加密算法套件检测工具
01-18
该工具适用于安全渗透测试人员,可以用来检测加密算法套件,
浅谈“脆SSL加密算法“
→_→
07-06 7978
一:漏洞名称: 加密算法、脆的加密算法、脆SSL加密算法、openssl的FREAK Attack漏洞 描述: 脆SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆。黑客可利用SSL加密算法漏洞进行SSL间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较的加密算法将不能较好的保证通...
使用 Nmap 进行 SSL/TLS 加密套件枚举
最新发布
hello.reader
09-13 1706
在进行网络安全审计时,检查目标服务器的加密强度是非常重要的一环,尤其是确认服务器是否在使用加密套件。Nmap 提供了一个非常有用的脚本 `ssl-enum-ciphers`,用于检查目标服务器使用的 SSL/TLS 加密套件。这篇博客将介绍如何使用 `nmap` 命令来枚举目标服务器SSL/TLS 加密套件,并对命令的工作原理进行详细解释。
SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl加密算法漏洞修复
2401_84139963的博客
04-09 2841
可以这样建立一个仅使用SSLv2协议及其密码算法的服务器:httpd.conf3、 如何建立一个仅接受强加密请求的SSL服务器:如下设置为仅使用最强的七种密码算法:httpd.conf4、 如何建立一个仅接受强加密请求的SSL服务器,而又允许对外浏览器使用更强的加密:这个功能被称为以服务器为网关的加密(Server Gated Cryptography[SGC]), 在README.GlobalID文档有详细说明。
计算机怎样禁用等加密算法,Win10 BitLocker如何禁用硬件加密?BitLocker禁用硬件加密的方法...
weixin_39738251的博客
07-24 431
Win10 BitLocker如何禁用硬件加密?BitLocker的主要作用是加密整个驱动器,Win10如何使用BitLocker禁用硬盘加密呢?解析来的文章小编将会带来详细的使用方法介绍。BitLocker禁用硬件加密的方法Windows10自带的“BitLocker加密”功能可以加密整个驱动器(磁盘分区),这对于隐私或保密数据比较庞大的用户来说很是方便实用。本来BitLocker有自己的一...
禁用使用哈希算法签名的证书:在 SSL/TLS 实现禁用使用哈希算法签名的证书
06-06
3. 在该部分,找到或添加以下行: ``` openssl_conf = openssl_init [openssl_init] ssl_conf = ssl_sect [ssl_sect] options = SSL_OP_NO_TLSv1_1 ``` 这些行将禁用 TLS 1.1 协议,因为 TLS 1.1 不再被认为是...
IIS Crypto最新版,支持windows服务器上启用或禁用TLS,SSL协议,免费
05-06
1. **协议管理**:IIS Crypto提供了一站式的解决方案,让用户可以轻松地启用或禁用特定的TLSSSL协议版本,比如TLS 1.2、TLS 1.3等,以适应不断变化的安全标准和最佳实践。 2. **加密套件配置**:除了协议,IIS ...
ssl_android.zip_TLS_android_android ssl_application_ssl/tls
09-20
2. **禁用不安全的协议和密码套件**:移除不再安全的SSL/TLS协议(如SSLv3)和密码套件,避免使用加密。 3. **定期更新信任的根证书**:定期检查并更新应用的信任根证书列表,确保能识别新的合法证书颁发机构。 ...
IIS Crypto能够在Windows Server 2008,2012和2016上启用或禁用TLS,SSL协议的的款免费工具
05-24
IIS Crypto软件是一款专门为电脑服务器打造的智能管理工具,使管理员能够在Windows Server 2008、2012和2016上启用或禁用协议、密码、散列和密钥交换算法。用户可以通过软件对服务进行各类密码以及相关协议的重置,...
SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 6167
SSL加密算法漏洞原理以及修复方法
SSL-TLS类安全漏洞及SLB安全漏洞问题
m0_59598029的博客
04-21 3558
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl加密算法漏洞修复(1)
2301_76225520的博客
04-16 1223
若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据0x0.如果您不配置启用值,默认情况下启用。但是,mod_ssl允许重配置针对目录的密码组,并自动进行一个带有服从新配置的SSL参数的重协商。(1)56/128 SCHANNEL\Ciphers\RC4 子项:RC4 64/128,若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。
运维系列:此站点的连接不安全,使用不受支持的协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持的协议 客户端和服务器不支持常用的 SSL 协议版本或密码套件。)
ZL_1618的博客
03-20 1365
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错![在这里插入图片描述](https://img-
Nignx的修改密码套件
一杯咖啡的渗透记忆
06-09 4819
目录 1. 各协议对应的密码套件名称: 2. Nmap &Sslscan查询密码套件 3. Nigx修改密码套件 1. MD5、DES和CBC_SHA类型修改 2. 限制很多的特定类型密码套件 4. Windows Server系统的协议修改 1. 各协议对应的密码套件名称: 以下列表给出了相关规范SSLTLS 密码套件名称及其 OpenSSL 等效项。应该注意的是,一些密码套件名称不包括使用的身份验证,例如 DES-CBC3-SHA。...
服务器协议密码,确定SSL服务器支持的最差/最佳协议、最/最强密码的最快速方法?...
weixin_29796903的博客
07-30 242
为此,我需要找出服务器支持的最差/最佳协议和最/最强的密码。在以下是我使用sslyze的代码:from plugins import PluginOpenSSLCipherSuitesfrom nassl import SSLV2, SSLV3, TLSV1, TLSV1_1, TLSV1_2shared_settings = {'certinfo': 'basic', 'starttls': ...
window服务器禁用默认的ssl2.0和ssl3.0,只启用tls1.2保证安全
热门推荐
各自安好、的博客
08-04 1万+
漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 SSL3漏洞 2014年10月14号由Google发现的POODLE漏洞,全称是Padding Oracle On Downloaded Legacy Encryption vulnerability,POODLE TLS(CVE-2014-8730)
nginx禁用3DES和DES加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 8222
nginx禁用3DES和DES加密算法,保证SSL证书安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WinJayX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值