Windows下修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

已于 2023-12-13 16:07:44 修改
阅读量2.7w 收藏 96
点赞数 42
文章标签: windows 安全 运维
于 2023-12-12 14:48:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44127580/article/details/134943884
版权
本文介绍了Windows系统中的CVE-2016-2183漏洞检测和四种修复方法,包括本地策略调整、FIPS加密、IISCrypto禁用密码套件和注册表修改。推荐使用IISCrypto方法,操作简便,修复效果确定。
摘要由CSDN通过智能技术生成

Windows下修复CVE-2016-2183漏洞

前言

很久没水文章了,之前遇到漏扫软件扫出一台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,又在在网上查了很多文章,基本都是CtrlCV毫无作用,于是自己翻看了漏洞信息后弄了个修复方法。

以下仅根据漏洞信息从修复方向讨论如何确认漏洞是否存在和修复方法。

确认漏洞是否存在

根据漏洞信息提示,当远程连接使用了DES/3DES加密套件时,漏扫便会判断存在CVE-2016-2183漏洞。

于是使用nmap对3389进行验证,注意nmap要使用最新版本(7.92可用),老版本nmap(7.8不可用)不允许扫描本机,无法验证。

下载nmap

下载nmap,最好选择win32.zip,方便上传到服务器内执行。

确认漏洞是否存在

上传到服务器,解压后在nmap目录输入以下命令:

.\nmap.exe -p 3389 --script ssl-enum-ciphers localhost

会返回以下结果(此处已加固):
在这里插入图片描述
查看套件中是否存在DES/3DES加密套件,若存在则确认漏洞存在。

漏洞修复方法

根据漏洞信息,可以得出多个漏洞修复方法。

修复方法1:本地策略处更改SSL密码套件

网络上常见方法是在本地策略(win+R 输入 gpedit.msc)—本地计算机—Windows设置—管理模板—网络—SSL配置设置—SSL密码套件顺序处更改新的加密套件。

这种方法不做详细说明,不推荐使用该方法。想了解的自行查阅网上其他文章,讲得实在太杂乱了且复制套件时容易出错或者完全无效。

修复方法2:使用FIPS加密

该方式是使用FIPS兼容算法替换原有加密方式,设置方式为本地策略(win+R 输入 gpedit.msc)—本地计算机—Windows设置—安全设置—安全选项—系统加密:将FIPS兼容算法用于加密、哈希和签名。

这种方法不做详细说明,不推荐使用该方法。该方法会导致部分堡垒机的远程连接失效,还会使Windows其他的一些补丁失效,得不偿失。

修复方法3:使用IISCrypto禁用密码套件(推荐)

该方法是通过注册表禁用DES/3DES加密方式,配置界面便捷方便。
首先下载IISCrypto.exe,直接下载IIS Crypto GUI并上传到服务器,打开后界面如图(此处已加固):
在这里插入图片描述
直接点击左下角推荐设置Best Practices,再取消勾选Ciphers框里的Triple DES 168,即可点击Apply并重启,此时使用nmap复查发现DES/3DES加密套件已消失,漏洞修复完成。

推荐使用该方法进行修复,操作便捷不易出错,且漏洞修复确定性100%,缺点是不能批量修复,需要逐台登录上传执行操作。

修复方式4:注册表修改值

此方式与修复方式3类似,均是通过修改注册表值,以达到禁用或直接删除DES/3DES加密套件。

此处给出两个注册表修改方法。

修改方法1:注册表禁用DES/3DES加密套件

注册表编辑器(Win+R输入regedit),复制

计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\

到路径跳转,如下图(已加固)
在这里插入图片描述
可见Ciphers,默认该目录内容为空,需手动创建子目录 Triple DES 168,并创建DWOPRD值,命名为Enabled(一定是要这个,大小写都要相同),数据类型填0禁用该加密方式,保存重启后漏洞修复。

修改方式2:注册表删除DES/3DES加密套件

注册表编辑器(Win+R输入regedit),复制

计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

到路径跳转,点击Functions如图(已加固)
在这里插入图片描述
在其中找到DES/3DES字样加密套件并删除确定,重启后漏洞修复。

这两种方法均是通过修改注册表实现漏洞修复,可通过编写bat来实现该漏洞的批量修复。

本文就水到这里,下次等有想法了再更(咕)了,有用的可以点个赞啥的,十分感谢。

循循而进,一往无前。

AZerork
关注
windows 修复SSL/TLS协议信息泄露漏洞
Hu_wen的专栏
08-15 3492
打开“SSL密码套件顺序”,更改为已启用,并在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,定位到计算机配置-管理模板-网络-SSL配置设置。...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
Windows 2008、2012、2016 服务器版本 SSL/TLS协议信息泄露漏洞(CVE-2016-2183),SSL 配置工具
CVE-2016-2183 修复过程,亲测有效
weixin_43709937的博客
08-24 1310
nmap安装方式请另行百度(案例的服务器是redhat,去官网下载的rpm包,rpm -ivh 包就安装成功了)发现3DES 加密是C级别的,并且有个warning 跟 CVE-2016-2183 的描述大概一致。通过配置nginx 的设置 ssl_ciphers HIGH:!通过下面链接了解nmap 扫描工具可以知道漏洞的来源(复测)nginx -s reload 重启nginx。之后nginx -t 检查配置文件。3DES是后添加的过滤。通过下面的命令得到结果。
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
php小菜鸟
07-26 3117
打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,依次打开计算机配置-管理模板-网络-SSL配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件算法,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本推荐
最新发布
gitblog_09704的博客
09-11 1123
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本推荐 项目地址:https://gitcode.com/open-source-toolkit/b32d1 项目介绍 在当今数字化时代,网络安全已成为企业和个人不可忽视的重要议题。Windows Server作为广泛使用的服务器操作系统,其安全性尤为关键。然而,CVE-2016-2183漏洞的存在,使得...
windows修复SSL漏洞CVE-2016-2183
leonnew的博客
07-27 3165
勾选已启用->修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、计算机配置->管理模板->网络->SSL配置设置。3、SSL密码套件顺序->右击->编辑。需要重新启动服务器生效。
Windows Server2012 R2修复SSL/TLS漏洞CVE-2016-2183
Linux I Tell U
11-18 5497
是一个TLS加密套件缺陷,存在于OpenSSL库中。该缺陷在于使用了弱随机数生成器,攻击者可以利用此缺陷预测随机数的值,从而成功绕过SSL/TLS连接的加密措施,实现中间人攻击。这个漏洞影响了OpenSSL 1.0.2版本之前的版本,而在1.0.2版本及以后的版本中已经修复了该漏洞
SSL/TLS协议信息泄露漏洞修复
童龙辉的博客
08-22 2531
概述:CVE-2016-2183 是一个涉及 SSL/TLS 协议信息泄露漏洞,也被称为 "SWEET32" 攻击。该漏洞利用了某些对称加密算法(如 3DES)的弱点,攻击者可以通过捕获和分析大量的加密流量,可能会恢复明文数据。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
weixin_45251630的博客
09-02 1082
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。安装nmap:nmap的下载地址https://nmap.org/download#linux-rpm,TLS安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。如果服务器有防火墙,直接在服务器安装完nmap以后,直接执行。如果没有防火墙可以指直接用笔记本电脑的namp测试。
修复Apache httpd中的SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)
IT布道
12-27 1447
默认情况下,查看/etc/httpd/conf.d/ssl.conf文件,但ssl.conf这个名字可以修改,所以,根据实际情况修改即可。找到配置项SSLCipherSuite和SSLProxyCipherSuite,并进行修改。修改完成之后,重启httpd。
SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具
08-28
用于移除系统中可能存在的脆弱加密套件 支持win7及以上系统,包括Server版本 需要手动重启后生效
Windows Server 2012 R2 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
友人A的博客
06-10 5122
一、漏洞情况 二、整改 1、 2、 3、 4、
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(原理扫描)漏洞修复
cp的博客
08-23 3843
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(原理扫描)漏洞修复
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)/SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)/SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-20
weixin_47277340的博客
02-04 9014
本人这几个漏洞都指向ssl,服务器为win2012 r2 standard 一、漏洞说明 Windows server 2012R2远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。远程主机支持的SSL加密算法提供了中等强度的加密算法,目前,使用密钥长度大于等于56bits并且小于112bits的算法都被认为是中等强度的加密算法。以下为漏洞截图: 按照漏扫工具给出的修复建议为:避免使用DES算
SSL/TSL协议信息泄露漏洞CVE-2016-2183
Old_greenhand的博客
05-25 523
1、按win+r ,输入gpedit.msc。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解决方法
zcfeng
11-17 1871
第四步:将下列套件复制到 SSL密码套件框内,应用并确定。最后一定要重启服务器操作系统,使其配置生效。日常工作中,经常会有漏洞扫描、等保测评、攻防演练等安全活动。第二步:依次找到 本地组策略编辑器-->计算机配置-->管理模板-->网络-->SSL配置设置。第三步:双击上图右侧的SSL密码套件顺序,选择已启用,并删除原有的SSL密码套件。第一步:按住win + r ,输入gpedit.msc,进入组策略界面。在WINDOWS系统中出现的频率特别高,今天给大家分享一下该漏洞的解决方法。
OpenSSL信息泄露漏洞CVE-2016-2183修复方案
weixin_47964022的博客
08-27 1629
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。OpenSSLTLS、SSH和IPSec协议和其它协议及产品中使用的DES和Triple DES密码算法存在信息泄露漏洞TLS、SSH和IPSec协议以及其他协议和产品中使用的DES和3DES算法,约40亿个块存在生日冲突问题,这使得远程攻击者更容易通过针对长时间加密会话的生日攻击获取明文数据,在CBC模式下使用3DES的HTTPS会话,被称为“Sweet32”攻击。
cve-2016-2183漏洞修复windows
07-15
### 回答1: CVE-2016-2183是一个影响Windows操作系统的漏洞,主要存在于SSL/TLS协议实施中存在的漏洞。这个漏洞使得攻击者可以在中间人攻击中窃听和篡改通过SSL/TLS加密的通信。 为了修复这个漏洞,微软推出了补丁程序,更新了Windows操作系统的SSL/TLS协议实施。用户可以通过以下步骤来修复这个漏洞: 1. 检查Windows操作系统版本:首先要确认自己的Windows操作系统版本。CVE-2016-2183主要影响Windows 7、Windows 8.1和Windows Server 2012 R2。 2. 下载和安装补丁程序:根据自己的操作系统版本,访问微软官方网站或Windows Update,并下载相应的补丁程序。安装补丁程序后,系统会自动修复CVE-2016-2183漏洞。 3. 更新SSL/TLS协议实施:此外,还可以通过更新SSL/TLS协议实施来进一步加强系统的安全性。这可以通过更新相关的安全协议库以及关闭不安全的加密算法等方式来实现。建议用户参考微软官方文档或咨询专业人士的意见来完成这些操作。 4. 定期更新系统:除了修复CVE-2016-2183漏洞外,定期更新操作系统、软件和应用程序也是保持系统安全的重要措施。用户应该确保系统开启自动更新功能,并及时下载安装最新的补丁程序。 总之,修复CVE-2016-2183漏洞需要用户下载安装微软提供的补丁程序,同时也建议用户更新SSL/TLS协议实施以提高系统的安全性。定期更新系统也是保持系统安全的重要步骤。 ### 回答2: CVE-2016-2183是一种存在于Windows操作系统中的漏洞。该漏洞可能会导致攻击者获取操作系统特权,从而对系统进行恶意操作。为了修复这个漏洞Windows系统进行了以下步骤: 首先,微软公司意识到了这个漏洞的存在,并立即开始着手解决问题。他们通过详细分析漏洞的原因和影响,以及攻击者可能利用的方式,来确定适当的修复措施。 其次,他们开发并发布了一个安全补丁程序,用于修复这个CVE-2016-2183漏洞。这个安全补丁是一个可下载和安装的软件包,它包含了修复漏洞的代码和相关的系统更新。 在安装了这个补丁之后,Windows操作系统会自动对CVE-2016-2183漏洞进行修复。补丁程序会检测系统中是否存在该漏洞,如果存在,则会相应地修复它。 同时,用户也可以通过自动更新功能,确保系统中的安全补丁和更新程序始终是最新的。微软公司会定期发布这些安全补丁和更新,以确保系统不会受到已知漏洞的威胁。 为了加强安全性,用户还应该采取其他措施,如使用强密码、定期更新和使用安全软件等。这些额外的安全措施有助于提高系统的整体安全性。 总之,通过开发和发布安全补丁程序,Windows操作系统成功修复CVE-2016-2183漏洞。用户只需定期更新系统和使用合适的安全措施,就可以保护自己的系统免受该漏洞的影响。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值