windows系统TLS/SSL弱密码套件漏洞问题处理

来源:本站原创 点击数: 发布时间:2025年06月19日

问题描述:

漏洞名称

TLS/SSL 弱密码套件

漏洞描述

远程主机支持具有弱或不安全属性的 TLS/SSL 密码套件。

修复建议

重新配置受影响的应用程序以避免使用弱密码套件。

参考POC

端口:443, 协议:TLS1.2, 弱加密算法:TLS_RSA_WITH_AES_128_CBC_SHA (SHA-HMAC)


问题解决:

命令提示符(CMD)中,输入命令"gpedit“打开系统"本地组策路编辑器”;依次打开管理模板->网络->SSL配置设置->SSL密码套件顺序(双击)

企业微信截图_17503149976905

设置到已启用,并且在SSL密码套件中删除默认套件,更换下面套件:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_PSK_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

完成之后,点击确定重启iis或者重启服务器生效


测试验证:

1,PowerShell

输入Get-TlsCipherSuite命令会显示现在在用的安全套件,可以检查是否还有包含不安全的安全套件

Get-TlsCipherSuite

2,nmap

nmap -sV --script ssl-enum-ciphers -p 443 -Pn 目标IP

-sV(服务版本探测):尝试识别目标端口上运行的服务及其版本信息。

--script ssl-enum-ciphers(SSL 加密套件枚举脚本):调用 Nmap 的 ssl-enum-ciphers 脚本,检测目标端口支持的 SSL/TLS 加密算法(如 AES、RSA、ECDHE 等)及其安全性。

-p 443 (指定端口)

-Pn(跳过主机发现): 直接扫描目标,不发送 ICMP 探测(Ping)来确认主机是否在线