windows 启用对TLS1.2和1.3的支持,并禁用对TLS1.0的支持

企业开发 2022-07-24 02:13:14 阅读次数: 0

一、问题描述

漏洞描述:

远程服务接受使用TLS1.0加密的连接。 TLS1.0有许多密码设计缺陷。 TLS1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷设计的,应该尽可能地使用。 截至2020年3月31日,未启用TLS1.2及更高版本的端点将不再在主要浏览器和主要供应商中正常工作。 PCI DSS v3.2要求在2018年6月30日前完全禁用TLS1.0,但POS POI终端(以及它们连接的SSL/TLS终端点)除外,这些终端可以被验证为不受任何已知的漏洞的影响。

风险级别:中

修复建议:启用对TLS1.2和1.3的支持,并禁用对TLS1.0的支持。

但实际修复中,在【internet属性】里启用tls1.2后,复扫没生效;现场环境:Windows Server 2019

二、处理

1)【internet属性】里启用TLS1.2:
在这里插入图片描述

2)注册表添加TLS1.2项(也可以按下图手动添加,命令快)

#查询
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client"
#添加
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v "Enabled" /t REG_DWORD /d "1" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v "DisabledByDefault" /t REG_DWORD /d "0" /f

#添加Server
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v "Enabled" /t REG_DWORD /d "1" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v "DisabledByDefault" /t REG_DWORD /d "0" /f

效果如下:
在这里插入图片描述
在这里插入图片描述
同理:再添加Server项。

3)重启OS或重启explorer进程生效或执行下面命令

#重启explorer
taskkill /im explorer.exe /f
start "" "C:\WINDOWS\explorer.exe"
或
RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

附录:

1)查看windows主机用户名的安全标识(sid)的映射关系

系统用户名的sid是通过Windows Management Instrumentation命令行(WMIC)来获取的,如下所示:

whoami /user
#查看本地组的SID:
whoami /groups
#查所有的
wmic useraccount get name,sid  //输出类似如下

Name                SID
Administrater       S-1-5-21-3910306979-3694673287-913489845-503
cloudbase-init      S-1-5-21-3910306979-3694673287-913489845-1002
DefaultAccount      S-1-5-21-3910306979-3694673287-913489845-502
Guest               S-1-5-21-3910306979-3694673287-913489845-501
WDAGUtilityAccount  S-1-5-21-3910306979-3694673287-913489845-504

#查询指定用户
wmic useraccount where name="Administrater" get sid
#枚举本地出组SID
wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status

注意:实际用户的SID会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList下各生成一个;ProfileList文件夹下的每个SID的ProfileImagePath值内,您可以找到所需的SID和其他详细信息。

可看到实际的用户和登录的当前用户是不一致的,只是SID一致。注销下会话,重新登录下。

猜你喜欢

转载自blog.csdn.net/ximenjianxue/article/details/125958000
今日推荐
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
最强开源大模型 Llama 3 上架 Gitee AI
虽然老乡鸡开源的不是代码,但背后的原因却让人很暖心
周排行
决策树的部分理解
STM32软件IIC的实现
RocketMQ原理解析-HA
vue-动态路由(路由的传参和接参)
利用python对Excel中的特定数据提取并写入新表
【Ubuntu】 Ubuntu16.04搭建NFS服务
Elasticsearch基础操作与对应的curl命令行,python对接实现
JVM数据存储结构 & Java的值传递和址传递
yum命令使用指南
java基础(一):java语法基础
每日归档
更多
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)
2024-04-15(42)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022