首页 > 其他分享 >网络安全(3)Window系统漏洞修复

网络安全(3)Window系统漏洞修复

时间:2024-01-31 11:22:08浏览次数:34  
标签:网络安全 TLS AES CBC ECDHE Window 系统漏洞 128 SHA256

1. 启动防火墙,按需添加入站规则,开放端口(来自网安专家李金东)

在“高级安全Windows Defender防火墙”中,查看防火墙状态,如果未开启,则通过点击“Windows Defender 防火墙属性”开启。注意需要将域、专用、公用全部开启。

 

通常规避漏洞是通过限制本地端口访问的方式实现,因此需要添加“入站规则”。在“入站规则”中点击“新建规则”。

注:默认入站规则为“阻止连接”,因此如果不配置防火墙规则,则默认禁止访问所有端口。因此,需要添加业务端口,允许访问。

允许访问规则(白名单)

选择“端口”,点击“下一步”。选中“特定本地端口”,填写允许访问的端口号,如8080,用英文逗号隔开,点击“下一步”。

 

 

2. 限制远程桌面的连接IP。

 

3. DES和Triple DES 信息泄露漏洞(CVE-2016-2183)(来自网安专家李金东)

漏洞说明

Windows server 2008或2012、2016远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。
例如如下漏洞:

修复办法

Windows系统:

1、登录服务器,运行gpedit.msc,打开“本地组策略编辑器”。

2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。

3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
删除原有内容替换为:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

修改后,点击“应用”、“确定”,即可。

4、重启服务器即可。

4. RC4 加密问题漏洞(CVE-2015-2808),TLS/SSL协议 RC4算法安全漏洞(CVE-2013-2566) (来自网安专家李金东)

 

漏洞说明

 

RC4 密码套件存在漏洞,SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808),通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。RC4 现在已经是被强制丢弃的算法。

修复方法

 

1. 启动Windows PowerShell

2. 复制粘贴执行如下脚本:

# Re-create the ciphers key.
New-Item 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers' -Force | Out-Null
# Disable insecure/weak ciphers.
$insecureCiphers = @(
  'DES 56/56',
  'NULL',
  'RC2 128/128',
  'RC2 40/128',
  'RC2 56/128',
  'RC4 40/128',
  'RC4 56/128',
  'RC4 64/128',
  'RC4 128/128',
  'Triple DES 168'
)
Foreach ($insecureCipher in $insecureCiphers) {
  $key = (Get-Item HKLM:\).OpenSubKey('SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers', $true).CreateSubKey($insecureCipher)
  $key.SetValue('Enabled', 0, 'DWord')
  $key.close()
  Write-Host "Weak cipher $insecureCipher has been disabled."
}

 5. 远端WWW服务支持TRACE请求,目标WEB服务支持TRACE/TRACK方法,易受跨站执行脚本攻击(来自网安专家李金东)

漏洞说明

攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息。

修复方法,可查看博客https://blog.csdn.net/juan_php_user/article/details/131716888

1.Apache

修改配置文件/conf/httpd.conf,添加TraceEnable off,重启apache。

2.Tomcat 

直接修改tomcat根目录conf目录下的web.xml,
在文件末尾(之前)添加如下代码:

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.

<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" allowTrace="true"
redirectPort="8443" />

3. nginx

nginx.conf中的server内,增加

if ($request_method !~* GET|POST|OPTIONS|PUT|DELETE) {
 return 403; 
}

 



 

 

标签:网络安全,TLS,AES,CBC,ECDHE,Window,系统漏洞,128,SHA256
From: https://www.cnblogs.com/pujinhong/p/17998830

相关文章

  • 网络安全(2)常见软件漏洞修复
    1.3306MYSQL升级到最新版,下载地址为https://dev.mysql.com/downloads/installer/,这里注意,不要跨大版本升级,只升级小版本号,例如mysql5.7.22只需要升级到最新的5.7.44。注意只使用长期维护的稳定版本。设置mysql允许连接IP添加一个用户并授权,供后台使用,不用root连接mysql2.......
  • AS-Windows 客户端不显示文件状态图标
    关键字状态图标、注册表适用产品AS5.0.xASEnterprise6.0.xASExpress6.0.xASCloud6.0.x问题描述打开AnyShareWindows客户端不显示文件状态图标。 问题影响AnyShareWindows客户端文件状态图标不显示,无法判断文件状态,影响用户使用体验。问题原因杀毒软件等原因导致文件状......
  • 如何在vue3项目app.ts中获取第三方跳转过来的token 提前处理携带token情况的初始化 两
    如何在vue3项目app.ts中获取第三方跳转过来的token提前处理携带token情况的初始化两种方式路由守卫和window.location在Vue3项目的app.ts文件中获取第三方跳转过来的token,你可以使用VueRouter的route对象来获取URL参数。假设你的token参数位于URL的查询字......
  • Window端口占用
    电脑上某个端口被占用时,你可以通过以下步骤进行排查和处理:查找所有运行的端口:打开命令窗口(以管理员身份运行):按下`Win`+`R`键并输入`cmd`,然后确认。输入`netstat-ano`命令并按Enter键执行。查看输出中的本地地址冒号后的数字,这些是端口号。查看被占用端口所对......
  • 网络安全(1)等保软件部分常见检查项
     1.数据库必须有每周增量备份、每月全量备份2.用户注册密码应该限制8位以上,包含数字、大小写字母以及特殊字符3.需要使用HTTPS协议4.必须有系统日志、数据库日志,并且日志需要保留6个月以上5.用户输入密码错误需要30分钟锁定6.数据库管理员密码需要有定期更新策略7.......
  • 如何在Windows上和Linux上配置自启动服务?
    我们以FastTunnel这个内网穿透工具为例,其中Server端的程序运行在Linux上,Client端的程序运行在Windows上。关于这个程序的配置请参考官方文档:快速上手:快速搭建服务。为了避免每次手动启动程序,我们把它们做成开启自启动的服务,这样你就可以无缝使用远程桌面了。Windows下载n......
  • Windows下安装Redis并配置自启服务
    推荐(免费):Redis使用教程1,下载地址:https://github.com/MicrosoftArchive/redis/releases2,解压缩后在文件夹中创建两个文件夹dbcache、logs。3,双击redis-server.exe,启动redis,如下图片表示启动成功。4,上面的启动一般用于检测redis是否可以成功启动,如果成功,接下来,要将redis注册为......
  • Windows10安装Hadoop3.1.3环境
    Windows10安装Hadoop3.1.3环境文章目录1.安装包下载1.1.hadoop官网下载1.2下载winutils1.3安装文件2.配置安装2.1安装配置JDK环境2.2解压hadoop压缩包2.3配置hadoop的环境变量2.3.1配置HADOOP_HOME2.3.2配置Path变量2.4配置hadoop2.4.1创建data和temp文件夹2.4.2配置hadoop......
  • Qt cannot initialize object parameter of type ‘QWidget‘ with an expression of
    报错如图:qtcreator工程文件例程报错error:cannotinitializeobjectparameteroftype‘QWidget’withanexpressionoftype‘tab_workface’问题分析可能因为qtcreator4.11.0basedonqt5.12版本略微冲突导致。。问题解决帮助->关于插件,将ClangCo......
  • Windows Server 2025 来了
    微软于2024年1月26日发布了WindowsServer2025的预览版更新,WindowsServer2025是由您的反馈和您希望拥抱混合、自适应云的愿望驱动的。这是2024年度的首个预览版,版本号为Build26040。在WindowsServer2025中,微软引入了多项新安全机制,旨在增强传统SMBoverTCP或RDMA的安全性。......