我需要在装有 Windows Server 2012 R2 的服务器上禁用不安全的密码套件才能通过 PCI 漏洞扫描。从我所做的研究来看,这似乎是在 IIS 中通过一些注册表更新完成的,我已经编译了一个列表并运行了它们。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
在应用上述、重新启动并重新运行扫描后,它仍然无法通过启用 RC4 套件的测试。所以我做了更多的挖掘,谷歌搜索显示了 SCHANNEL: KB2868725的补丁,所以我尝试安装它,但它与系统不兼容(RC2 已经安装了它)。
之后我尝试了IIS Crypto,它已经显示 R4 密码被禁用(通过我之前更改的注册表项),但我打开了 PCI 模式,它禁用了更多的套件/密码。重新启动后,我很乐观,但扫描仍然失败。
从额外的研究看来,2012 R2 应该具有禁用内置 RC4 的功能,并且 IIS 应该尊重这一点,但它没有这样做,所以我不知道从这里去哪里。
如果任何其他人遇到这种情况时都摸不着头脑,这不是托管 IIS 的服务器的问题。如果您在启用了 RC4 的服务器前面有任何负载平衡或反向代理,它也会使扫描失败。