dahiko
15-02-2017, 07:49
Всем привет!
Как можно отключить на TLSv1 не нужное? Сейчас сканер показывает на контроллере домена на портах LDAP 636 и 3269:
SSL 64-bit Block Size Cipher Suites Supported (SWEET32)
TLSv1
DES-CBC3-SHA
Kx=RSA
Au=RSA
Enc=3DES-CBC(168)
Mac=SHA1
Попробовал:
1. Создать ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168
Ключ Enable RegDword = 0
2. Настроил политику через GPO
Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos
DES_CBC_CRC Отключено
DES_CBC_MD5 Отключено
RC4_HMAC_MD5 Отключено
AES128_HMAC_SHA1 Включено
AES256_HMAC_SHA1 Включено
Будущие типы шифрования Включено
3. Включал/Отключал политику через GPO
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания
Использовать утилиту IISCrypto как-то боязно, все таки контроллер домена.
Что еще можно попробовать?
Как можно отключить на TLSv1 не нужное? Сейчас сканер показывает на контроллере домена на портах LDAP 636 и 3269:
SSL 64-bit Block Size Cipher Suites Supported (SWEET32)
TLSv1
DES-CBC3-SHA
Kx=RSA
Au=RSA
Enc=3DES-CBC(168)
Mac=SHA1
Попробовал:
1. Создать ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168
Ключ Enable RegDword = 0
2. Настроил политику через GPO
Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos
DES_CBC_CRC Отключено
DES_CBC_MD5 Отключено
RC4_HMAC_MD5 Отключено
AES128_HMAC_SHA1 Включено
AES256_HMAC_SHA1 Включено
Будущие типы шифрования Включено
3. Включал/Отключал политику через GPO
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания
Использовать утилиту IISCrypto как-то боязно, все таки контроллер домена.
Что еще можно попробовать?