最近,我的 PCI 评估员告诉我,我的服务器很容易受到 BEAST 的攻击,因此我失败了。我做了功课,我想改变我们的网络服务器,使其更喜欢 RC4 密码而不是 CBC。我遵循了我能找到的每一个指南......
我将弱于 128 位加密的 reg 密钥更改为 Enabled = 0。完全删除了弱加密的 reg 密钥。我下载了 IISCrypto 并取消选中除 RC4 128 密码和三重 DES 168 之外的所有内容。
我的网络服务器仍然更喜欢 AES-256SHA。IIS 6.0 中是否有一个技巧可以让您的网络服务器更喜欢我没有弄清楚的 RC4 密码?似乎在 IIS 7 中,他们使这个问题很容易修复,但现在对我没有帮助!
小智 3
\n\n从上面的链接:
\n\n\n\n\n注意:不幸的是,上述解决方案不适用于 Windows Server 2003/Windows XP,密码套件的优先级是硬编码的。在 Windows Server 2003 上,他们可能必须禁用基于 CBC 的密码;但是,这可能会导致尝试连接到这些服务器的客户端不兼容。
\n
另外值得注意的是:如果 SSL 仅用于网站以外的其他内容(电子邮件客户端、VPN 等),则它不易受到 BEAST 攻击。客户端必须与浏览器连接。
\n\nMS12-006 实施了一种针对 XP/2003 计算机缓解 BEAST 的方法,但某些客户端应用程序可能存在问题。 有关详细信息,请参阅这篇 MSDN 文章。
\n 归档时间: |
|
查看次数: |
880 次 |
最近记录: |