IIS 6.0 缓解 BEAST

D3l*_*ato 5 ssl iis-6

最近,我的 PCI 评估员告诉我,我的服务器很容易受到 BEAST 的攻击,因此我失败了。我做了功课,我想改变我们的网络服务器,使其更喜欢 RC4 密码而不是 CBC。我遵循了我能找到的每一个指南......

我将弱于 128 位加密的 reg 密钥更改为 Enabled = 0。完全删除了弱加密的 reg 密钥。我下载了 IISCrypto 并取消选中除 RC4 128 密码和三重 DES 168 之外的所有内容。

我的网络服务器仍然更喜欢 AES-256SHA。IIS 6.0 中是否有一个技巧可以让您的网络服务器更喜欢我没有弄清楚的 RC4 密码?似乎在 IIS 7 中,他们使这个问题很容易修复,但现在对我没有帮助!

小智 3

有关 BEAST 缓解的 MSDN 文章

\n\n

从上面的链接:

\n\n
\n

注意:不幸的是,上述解决方案不适用于 Windows Server 2003/Windows XP,密码套件的优先级是硬编码的。在 Windows Server 2003 上,他们可能必须禁用基于 CBC 的密码;但是,这可能会导致尝试连接到这些服务器的客户端不兼容。

\n
\n\n

另外值得注意的是:如果 SSL 仅用于网站以外的其他内容(电子邮件客户端、VPN 等),则它不易受到 BEAST 攻击。客户端必须与浏览器连接。

\n\n

MS12-006 实施了一种针对 XP/2003 计算机缓解 BEAST 的方法,但某些客户端应用程序可能存在问题。 有关详细信息,请参阅这篇 MSDN 文章。

\n