উইন্ডোজ 10 এ দুর্বল সাইফার সরিয়ে ফেলা বহির্গামী আরডিপি ব্রেক

উইন্ডোজ 10 মেশিনে আরডিপি চালিত হওয়ার কারণে ট্রাস্ট ওয়েভের দুর্বলতা স্ক্যানার একটি স্ক্যান ব্যর্থ করে:

64 বিট (DES এবং 3DES এর মতো) এর ব্লক আকারের ব্লক সাইফার অ্যালগরিদমগুলি সুইট 32 (সিভিই -2016-2183) হিসাবে পরিচিত জন্মদিনের আক্রমণ

দ্রষ্টব্য: আরডিপি (রিমোট ডেস্কটপ প্রোটোকল) চলমান উইন্ডোজ /10/১০ সিস্টেমে, অক্ষম করা উচিত এমন দুর্বল সাইফারের নাম 'TLS_RSA_WITH_3DES_EDE_CBC_SHA' রয়েছে।

আইআইএস ক্রিপ্টো (নার্টাক দ্বারা) ব্যবহার করে, আমি "সেরা অনুশীলনগুলি" টেমপ্লেট পাশাপাশি পিসিআই ৩.১ টেম্পলেট প্রয়োগ করার চেষ্টা করেছি, তবে উভয়ের মধ্যেই অনিরাপদ সাইফার রয়েছে (টিএলএস_আরএসএ_উইভিটিডিআইডি_ডিসি_সিবিএসএএসএ):

যদি আমি এই সাইফার, RDP অক্ষম থেকে দিলেও অনেক উইন্ডোজ স্টেশন এই কম্পিউটারটিকে (এটা এখনও কিছু 2008 R2 এবং 2012 R2 হলো সার্ভারে কাজ করে)। আরডিপি ক্লায়েন্ট সহজভাবে দেয়, "একটি অভ্যন্তরীণ ত্রুটি ঘটেছে" এবং ইভেন্ট লগ:

একটি টিএলএস ক্লায়েন্ট শংসাপত্র তৈরি করার সময় একটি মারাত্মক ত্রুটি ঘটেছে। অভ্যন্তরীণ ত্রুটির অবস্থা 10013।

আমি কোনও একটি সার্ভারের সার্ভার ইভেন্ট লগটি পরীক্ষা করে দেখেছি এবং এই দুটি বার্তাটি দেখেছি

একটি দূরবর্তী ক্লায়েন্ট অ্যাপ্লিকেশন থেকে একটি টিএলএস 1.2 সংযোগের অনুরোধ পাওয়া গেছে, তবে ক্লায়েন্ট অ্যাপ্লিকেশন দ্বারা সমর্থিত সাইফার স্যুটের কোনওটিই সার্ভার দ্বারা সমর্থিত নয়। এসএসএল সংযোগের অনুরোধটি ব্যর্থ হয়েছে।

নিম্নলিখিত মারাত্মক সতর্কতা উত্পন্ন হয়েছিল: 40. অভ্যন্তরীণ ত্রুটির অবস্থা 1205।

আউটগোয়িং আরডিপি না ভেঙে আমি কীভাবে সুরক্ষা দুর্বলতা ঠিক করতে পারি?

অথবা, যদি উপরেরটি সম্ভব না হয় তবে প্রতিটি আরডিপি হোস্টের জন্য আমি এমন কিছু করতে পারি যা আমি আর সেই প্রান্তের সাথে সংযোগ রাখতে পারি না?

--- আপডেট # 1 ---

উইন্ডোজ 10 মেশিনে TLS_RSA_WITH_3DES_EDE_CBC_SHA অক্ষম করার পরে, আমি বেশ কয়েকটি আরডিপি হোস্টের সাথে সংযোগ দেওয়ার চেষ্টা করেছি (এর মধ্যে অর্ধেকটি "একটি অভ্যন্তরীণ ত্রুটি ..." দিয়ে ব্যর্থ হয়েছে)। তাই আমি এই হোস্টগুলি এক যে আমি তুলনা করতে পারেন এক বিরুদ্ধে সাথে সংযোগ যে আমি করতে পারছি না সাথে সংযোগ করুন। উভয়ই 2008 আর 2। উভয়ের একই আরডিপি সংস্করণ রয়েছে (6.3.9600, আরডিপি প্রোটোকল 8.1 সমর্থিত)।

আমি টিএলএস প্রোটোকল এবং সাইফারগুলিকে তাদের বর্তমান সেটিংসে "সেভ টেম্পলেট" করতে আইআইএস ক্রিপ্টো ব্যবহার করে তুলনা করেছি যাতে আমি টেমপ্লেটের ফাইলগুলি তুলনা করতে পারি। তারা ছিল অভিন্ন! সুতরাং সমস্যা যাই হোক না কেন এটি হোস্টের অনুপস্থিত চিফার স্যুইটের বিষয় বলে মনে হয় না। ফাইন্ডের সাথে তুলনা করার বাইরে একটি স্ক্রিন শট দেওয়া হয়েছে:

দুটি আরডিপি হোস্টের কারণে এই সমস্যাটি কীভাবে পৃথক হতে পারে এবং কীভাবে এটি ঠিক করবেন?

আইআইএস ক্রিপ্টোতে সার্ভার সাইড (ইনকামিং) এবং ক্লায়েন্ট সাইড (আউটগোয়িং) উভয় বিকল্প সেট করার বিকল্প রয়েছে। সামঞ্জস্যের জন্য ক্লায়েন্ট সাইডে আপনার সক্ষম থাকা কয়েকটি মুফার রয়েছে।

আপনি যা চান তা করতে আমি ব্যক্তিগতভাবে নিম্নলিখিতগুলির সাথে যাব:

• 3.1 টেম্পলেট প্রয়োগ করুন
• সমস্ত সাইফার স্যুট সক্ষম করে রেখে দিন
• ক্লায়েন্ট এবং সার্ভার উভয়কেই প্রয়োগ করুন (চেকবক্সটি টিকযুক্ত)।
• পরিবর্তনগুলি সংরক্ষণ করতে 'প্রয়োগ করুন' এ ক্লিক করুন

চাইলে এখানে পুনরায় বুট করুন (এবং আপনার মেশিনে শারীরিক অ্যাক্সেস রয়েছে)।

• 3.1 টেম্পলেট প্রয়োগ করুন
• সমস্ত সাইফার স্যুট সক্ষম করে রেখে দিন
• সার্ভারে প্রয়োগ করুন (চেকবক্সটি অবরুদ্ধ)
• 3DES বিকল্পটি চেক করুন

এখানে পুনরায় বুট করার ফলে সঠিক প্রান্তের ফলাফল হওয়া উচিত।

কার্যকরভাবে আপনি কেবল 3 ডি ই এস ইনবাউন্ড অক্ষম করতে চান, তবে এখনও সিফার স্যুটটির আউটবাউন্ড ব্যবহারের অনুমতি দিন।

আমার একই সমস্যা ছিল, সার্ভারে KB3080079 প্যাচ ইনস্টল করা টিএসএস 1.1 এবং 1.2 এর জন্য সক্ষম করে।

নোট করুন যে উইন্ডোজ 7 ক্লায়েন্টের জন্য আপনাকে আরডিপি ক্লায়েন্ট আপডেট (KB2830477) ইনস্টল করতে হবে, অন্যথায় কেবল উইন্ডোজ 8+ সংযোগ করতে সক্ষম হবে।

সম্পাদনা (2018-09-26): আমি আবিষ্কার করেছি যে 2012R2-তে 3DES অক্ষম করা আরডিপি ভেঙে না তবে এটি ২০০৮ আর ২-এ ভেঙে যায়। সমর্থিত বিকল্পগুলি কার্নেলের মধ্যে পৃথক বলে মনে হচ্ছে।

আমি আমার উত্তরটি কোনও টেকনেট থ্রেড থেকে ভাগ করে নেব তবে প্রথম বিএলইউএফ:

সার্ভারফল্ট উপসংহার: সম্ভবত সিস্টেমগুলির মধ্যে আপনার অন্য কিছু পার্থক্য রয়েছে। আপনি বিভিন্ন ওএস সংস্করণের মধ্যে সংযোগ স্থাপন করছেন, একটি সিস্টেমে FIPS সক্ষম করা আছে এবং অন্যটি নেই, অথবা এর অধীনে আপনার বিভিন্ন সাইফার বিধিনিষেধ রয়েছে HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers। আমি অবশ্যই সিস্টেম উপর SCHANNEL লগিং সক্ষম করবে না তা নির্ধারণ করতে যা সাইফার ব্যবহার করা হচ্ছে হবে। আপনি যদি কোনওভাবে কোনও বিকল্প সাইফারের সাথে কাজ করার জন্য আরডিপি পেয়ে থাকেন তবে তা শুনতে শুনতে ভাল লাগবে।

পোস্টের অনুলিপি:

আমরা এটা কাজ পেয়েছিলাম!

স্পষ্টতই ২০০৮ এবং ২০১২ এর সিনট্যাক্স সমস্যা রয়েছে এবং ২০০//২০১ a এর জন্য একটি পিছনে / 168 প্রয়োজন। 2012 / 8.1 / 10 না।

২০০৮-এর কীটি দেখতে এরকম দেখাচ্ছে: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168

এবং 2012-এর কীটি দেখতে এরকম দেখাচ্ছে: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168

আমি নিশ্চিত করতে পারি যে "ট্রিপল ডিইএস 168/168" এর ব্যবহারটি সিস্টেমে 3DES অক্ষম করে না। আপনি প্রোটোকল স্ক্যানার (নেসাসের মতো) দিয়ে বা এসসিএইচএল লগিং সক্ষম করে এটি নিজের কাছে প্রমাণ করতে পারেন:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL] "EventLogging"=dword:00000007

এরপরে আপনার সিস্টেমে লগের ইভেন্টগুলি উদাহরণস্বরূপ থাকবে;

একটি এসএসএল ক্লায়েন্ট হ্যান্ডশেক সফলভাবে সম্পন্ন হয়েছে। নীচে আলোচনা করা ক্রিপ্টোগ্রাফিক প্যারামিটারগুলি রয়েছে।

প্রোটোকল: টিএলএস 1.0 সিফারসুইট: 0x2f এক্সচেঞ্জ শক্তি: 1024

আমার জন্য ফলাফল 0xa যা গুগল TLS_RSA_WITH_3DES_EDE_CBC_SHA হিসাবে প্রকাশ করে।

আমি যখন "ট্রিপল ডিইএস 168" ব্যবহার করি (/ 168 ছাড়াই), সিস্টেম ইভেন্ট আইডি 36880 উপস্থিত হয় না এবং আরডিপি সেশনটি অবরুদ্ধ করা হয়।

নিবন্ধ অনুযায়ী: সিস্টেম ক্রিপ্টোগ্রাফি: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষরকরণের জন্য FIPS মেনে চলার অ্যালগরিদম ব্যবহার করুন

রিমোট ডেস্কটপ পরিষেবাদি (আরডিএস) রিমোট ডেস্কটপ পরিষেবা নেটওয়ার্ক যোগাযোগ এনক্রিপ্ট করার জন্য, এই নীতি সেটিংটি কেবল ট্রিপল ডিইএস এনক্রিপশন অ্যালগরিদমকে সমর্থন করে।

নিবন্ধটি প্রতি: "সিস্টেম ক্রিপ্টোগ্রাফি: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষর করার জন্য ফেয়ারের সাথে সামঞ্জস্যপূর্ণ অ্যালগরিদম ব্যবহার করুন" উইন্ডোজ এক্সপি এবং উইন্ডোজের পরবর্তী সংস্করণগুলিতে সুরক্ষা সেটিং প্রভাবগুলি

এই সেটিংটি উইন্ডোজ সার্ভার 2003 এবং উইন্ডোজের পরবর্তী সংস্করণগুলিতে টার্মিনাল পরিষেবাগুলিকেও প্রভাবিত করে। TLS সার্ভার প্রমাণীকরণের জন্য ব্যবহৃত হচ্ছে কিনা তার উপর প্রভাব নির্ভর করে।

যদি সার্ভারের প্রমাণীকরণের জন্য টিএলএস ব্যবহার করা হয়, তবে এই সেটিংটি কেবল টিএলএস 1.0 ব্যবহার করতে পারে।

ডিফল্টরূপে, যদি টিএলএস ব্যবহার না করা হয়, এবং এই সেটিংসটি ক্লায়েন্ট বা সার্ভারে সক্ষম না করা থাকে, তবে সার্ভার এবং ক্লায়েন্টের মধ্যে রিমোট ডেস্কটপ প্রোটোকল (আরডিপি) চ্যানেলটি 128-বিটের সাহায্যে আরসি 4 অ্যালগরিদম ব্যবহার করে এনক্রিপ্ট করা হবে কী দৈর্ঘ্য। আপনি উইন্ডোজ সার্ভার 2003-ভিত্তিক কম্পিউটারে এই সেটিংটি সক্ষম করার পরে, নিম্নলিখিতটি সত্য: আরডিপি চ্যানেলটি 168-বিট কী দৈর্ঘ্যের সহ সিফার ব্লক চেইনিং (সিবিসি) মোডে 3DES অ্যালগরিদম ব্যবহার করে এনক্রিপ্ট করা হবে। SHA-1 অ্যালগরিদম বার্তা হজম তৈরি করতে ব্যবহৃত হয়। সংযোগের জন্য ক্লায়েন্টদের অবশ্যই আরডিপি 5.2 ক্লায়েন্ট প্রোগ্রাম বা তার পরবর্তী সংস্করণ ব্যবহার করতে হবে।

সুতরাং এই দুজনেই এই ধারণাটিকে সমর্থন করে যে আরডিপি কেবলমাত্র 3DES ব্যবহার করতে পারে। যাইহোক, এই নিবন্ধটি পরামর্শ দেয় যে সাইফারগুলির একটি বৃহত্তর পরিসীমা পাওয়া যায়: FIPS 140 বৈধকরণ

কোনও রিমোট ডেস্কটপ প্রোটোকল (আরডিপি) সার্ভার ব্যবহার করবে এমন ক্রিপ্টোগ্রাফিক অ্যালগরিদমের সেটটি এখানে স্কॉप করা আছে: - CALG_RSA_KEYX - আরএসএ পাবলিক কী এক্সচেঞ্জ অ্যালগরিদম - CALG_3DES - ট্রিপল ডিইএস এনক্রিপশন অ্যালগরিদম - CALG_AES_128 - 128 বিট - EES - CALG_A1G SHA হ্যাশিং অ্যালগরিদম - CALG_SHA_256 - 256 বিট SHA হ্যাশিং অ্যালগরিদম - CALG_SHA_384 - 384 বিট SHA হ্যাশিং অ্যালগরিদম - CALG_SHA_512 - 512 বিট SHA হ্যাশিং অ্যালগরিদম

শেষ পর্যন্ত এটি স্পষ্ট নয় যে আরডিপি নন-ডিইডিএস প্রোটোকলকে সমর্থন করতে পারে যখন এফএসি মোড সক্ষম থাকে তবে প্রমাণগুলি প্রস্তাব দেয় যে এটি না করে।

আমি কোনও প্রমাণ দেখতে পাচ্ছি না যে সার্ভার ২০১২ আর 2 সার্ভার ২০০৮ আর 2 থেকে আলাদাভাবে কাজ করবে, তবে মনে হয় যে সার্ভার ২০০৮ আর 2 ফেডারেশন ১৪০-১০ এর অনুপস্থিতির ভিত্তিতে ছিল এবং সার্ভার ২০১২ আর 2 ফেডারেশন 140-2 অনুসরণ করে সুতরাং সার্ভার 2012 আর 2 সমর্থন করে এটি সম্পূর্ণভাবে সম্ভব অতিরিক্ত প্রোটোকল আপনি ফেস্টিফিক 140 বৈধকরণ লিঙ্কে অতিরিক্ত প্রোটোকল নোট করবেন ।

উপসংহারে: আমার মনে হয় না যে সার্ভার ২০০৮ আর 2 আরডিপি 3 ডি ই এস অক্ষম করে মোডে সমর্থন করতে পারে। আমার সুপারিশটি সুইটইটি 32 আক্রমণ (একক অধিবেশনে 768 গিগাবাইটের বেশি প্রেরণ করা) শর্ত পূরণ করে এবং 3DES অক্ষম করা আরডিপি সক্ষমতা অপসারণযোগ্য কিনা তা নির্ধারণ করা My আরডিপি ছাড়িয়ে সার্ভার পরিচালনা করার জন্য অন্যান্য ইউটিলিটিগুলি উপস্থিত রয়েছে বিশেষত এমন একটি বিশ্বে যেখানে ভার্চুয়ালাইজেশন অত্যন্ত সাধারণ।

স্পষ্টতই ২০০৮ এবং ২০১২ এর সিনট্যাক্স সমস্যা রয়েছে এবং ২০০//২০১ a এর জন্য একটি পিছনে / 168 প্রয়োজন। 2012 / 8.1 / 10 না।

২০০৮-এর কীটি দেখতে এইরকম দেখাচ্ছে: HKEY_LOCAL_MACHINE Y SYSTEM \ কারেন্টকন্ট্রোলসেট \ নিয়ন্ত্রণ \ সুরক্ষা সরবরাহকারীদের CH SCHANNEL \ সিফারস \ ট্রিপল ডিইএস 168/168

** দুর্দান্ত আবিষ্কার করুন যে কয়েকটি উইন্ডো 2008 আর 2 ডোমেন কন্ট্রোলারে আমার ঠিক একই সমস্যা ছিল, মজার বিষয় হল আমার সদস্য 2008R2 সার্ভারগুলি ঠিক আছে ... এবং আমার 2012R2 সার্ভারগুলিও ঠিকঠাকভাবে কাজ করে। সেই পুরানো ডিসি'র ডিকমিংয়ে ক্র্যাক করা দরকার :)