আইআইএস-এ, আমি কীভাবে এসএসএল 3.0 পুডল দুর্বলতা (সিভিই -2014-3566) প্যাচ করব?

আইআইএস চলমান উইন্ডোজ সার্ভার 2012 সিস্টেমে আমি কীভাবে সিভিই -2014-3566 প্যাচ করব ?

উইন্ডোজ আপডেটে কোনও প্যাচ আছে, বা এসএসএল 3.0 অক্ষম করার জন্য আমাকে কি একটি রেজিস্ট্রি পরিবর্তন করতে হবে ?

কোনও "প্যাচ" নেই। এটি প্রোটোকলে দুর্বলতা, বাস্তবায়নে কোনও বাগ নেই g

উইন্ডোজ সার্ভার 2003 থেকে 2012 আর 2 তে এসএসএল / টিএলএস প্রোটোকলগুলিতে রেজিস্ট্রি সেটগুলিতে পতাকা দ্বারা নিয়ন্ত্রিত হয় HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols।

পিএসডিএল দুর্বলতার সাথে সম্পর্কিত, এসএসএলভি 3 অক্ষম করতে উপরের অবস্থানে (যদি এটি ইতিমধ্যে উপস্থিত না থাকে) SSL 3.0এবং তার অধীনে একটি সাবকি Server(এটি ইতিমধ্যে উপস্থিত না থাকে) এর অধীন সাবকি তৈরি করুন । এই অবস্থানে ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server) নামের একটি ডিডাবর্ড মান তৈরি করুন Enabledএবং এটিকে সেট করে রেখে দিন 0।

SSL 2.0 অক্ষম করা, যা আপনারও করা উচিত, একইভাবে করা হয়, আপনি SSL 2.0উপরের রেজিস্ট্রি পাথের নামের একটি কী ব্যবহার করবেন named

আমি সমস্ত সংস্করণ পরীক্ষা করিনি, তবে এই পরিবর্তনটি কার্যকর হওয়ার জন্য একটি রিবুট প্রয়োজন বলে ধরে নেওয়া সম্ভবত নিরাপদ বলে মনে করি।

কেবলমাত্র ইনস্টলেশন ইনস্টলেশনের জন্য আমি উপরের ইভানের উত্তরটি থেকে এই "অক্ষম এসএসএল 2 এবং 3.reg" ফাইলটি পেয়েছি :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

SSL2 এবং SSL3 অক্ষম করার জন্য পাওয়ারশেল:

2..3 | %{ New-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL $_.0\Server" -Name Enabled -PropertyType "DWORD" -Value 0 -Force }

নরতাকের একটি বিনামূল্যে ইউটিলিটি রয়েছে যা আপনি প্রোটোকলগুলি অক্ষম করতে ব্যবহার করতে পারেন।

https://www.nartac.com/Products/IISCrypto/Default.aspx

এখানে একটি পাওয়ারশেল যা রেজিস্ট্রি কীগুলির উপস্থিতির জন্য পরীক্ষা করবে, প্রয়োজনে এগুলি তৈরি করবে এবং তারপরে SSL 2.0 এবং SSL 3.0 অক্ষম করার জন্য প্রয়োজনীয় মানগুলি প্রবেশ করবে

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'


If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
   New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force 

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}

If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
   New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force

এটি এসসিসিএম বা কমান্ড লাইন ব্যবহার করে স্থাপন করা যেতে পারে - কেবলমাত্র প্রশাসক হিসাবে এসসিসিএম কাজ বা কমান্ড লাইন চালানো নিশ্চিত হন। রেজিস্ট্রি তথ্য সহ কয়েকটি ওয়েবসাইট নির্দেশ করে যে রেজিস্ট্রি কীগুলি তৈরি এবং / অথবা সংশোধিত হওয়ার পরে একটি রিবুট প্রয়োজন।

অথবা আইআইএসক্রিপ্টো-এর একটি অনুলিপি ধরুন এবং সর্বোত্তম অনুশীলনের বোতামটি ক্লিক করুন, তারপরে এসএসএল 3.0 আনচেক করুন এবং তারপরে প্রয়োগ করুন, তারপরে পুনরায় বুট করুন

আপনাকে এসএসএল 3 অক্ষম করতে হবে না। আপনি এসএসএল সক্ষম করতে পারেন এবং পুডিকে প্রশমিত করতে পারেন ।

# Copy and paste this in PowerShell then restart your server
$cipherSuitesOrder = @(
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',
    'TLS_RSA_WITH_AES_128_CBC_SHA256',
    'TLS_RSA_WITH_AES_128_CBC_SHA',
    'TLS_RSA_WITH_AES_256_CBC_SHA256',
    'TLS_RSA_WITH_AES_256_CBC_SHA',
    'TLS_RSA_WITH_RC4_128_SHA',
    'TLS_RSA_WITH_3DES_EDE_CBC_SHA',
    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384'
)
$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)
New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' \
-name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

এই সেটিংসের সাথে আপনার এখনও আইআই 6 সমর্থন থাকবে (আরসি 4 ব্যবহার করে এসএসএলভি 3 সহ) এবং গ্রহণযোগ্য কনফিগারেশন সুরক্ষার চেয়ে আরও অনেক কিছু পাবেন। কেবল আইআই 6 এবং সত্যই পুরানো ক্লায়েন্ট এসএসএলভি 3 বা আরসি 4 সিফার ব্যবহার করবে।

এখানে একটি ভাল পাওয়ারশেল স্ক্রিপ্ট রয়েছে যা আইআইএস 7.5 এবং 8 কনফিগারেশনে সহায়তা করে:

এই পাওয়ারশেল স্ক্রিপ্টটি ফরওয়ার্ড গোপনীয়তার সাথে টিএলএস 1.1 এবং টিএলএস 1.2 প্রোটোকল সমর্থন করার জন্য আপনার মাইক্রোসফ্ট ইন্টারনেট তথ্য সার্ভার 7.5 এবং 8.0 (আইআইএস) সেটআপ করে। অতিরিক্তভাবে এটি সুরক্ষিত SSL SSL এবং SSL3 এবং সমস্ত অনিরাপদ এবং দুর্বল সাইফারগুলি অক্ষম করে যা আপনার ব্রাউজারকেও পিছনে আসতে পারে your এই স্ক্রিপ্টটি বর্তমানের সেরা অনুশীলনের নিয়মগুলি কার্যকর করে।

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12