5 votes

D3l_Gato avatar

IIS 6.0 pour atténuer les effets de BEAST

Demandé el 7 de Décembre, 2012
Quand la question a-t-elle été
927 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Récemment, mon évaluateur PCI m'a informé que mes serveurs sont vulnérables à BEAST et m'a recalé. J'ai fait mes devoirs et je veux changer nos serveurs web pour préférer les chiffres RC4 aux chiffres CBC. J'ai suivi tous les guides que j'ai pu trouver...

J'ai changé mes clés de registre pour mon cryptage plus faible que 128 bits en Enabled = 0. J'ai complètement supprimé les clés de registre pour les cryptages plus faibles. J'ai téléchargé IISCrypto et décoché tout sauf les ciphers RC4 128 et triple DES 168.

Mon serveur web préfère toujours AES-256SHA. Existe-t-il une astuce dans IIS 6.0 pour que vos serveurs Web préfèrent les chiffres RC4 que je ne comprends pas ? Il semble que dans IIS 7 ils ont rendu ce problème très facile à résoudre mais cela ne m'aide pas maintenant !

Demandé el 7 de Décembre, 2012 par D3l_Gato

0 votes

Avatar de Shane Madden

Avez-vous redémarré complètement le serveur après avoir effectué les modifications ?

Commenté el 7 de Décembre, 2012 par Shane Madden

0 votes

Avatar de D3l_Gato

Oui ! Après tout changement de registre, nous procédons toujours à un redémarrage complet du serveur.

Commenté el 7 de Décembre, 2012 par D3l_Gato

Réponse

Trop de publicités?

3voto

HP. avatar
HP. Points 2935

Article de MSDN sur l'atténuation de BEAST

Du lien ci-dessus :

NOTE : Malheureusement, la solution ci-dessus ne s'applique pas à Windows Server 2003/Windows XP, la proportion des suites de chiffrement est codée en dur. Sur Windows Server 2003, ils devront probablement désactiver les ciphers basés sur CBC ; cependant, cela pourrait causer une incompatibilité avec les clients qui essaient de se connecter à ces serveurs.

Il convient également de noter que si le SSL n'est utilisé que sur autre chose qu'un site web (client de messagerie, vpn, etc.), il n'est pas vulnérable aux attaques BEAST. Le client doit se connecter avec un navigateur.

MS12-006 a mis en œuvre une méthode d'atténuation de BEAST pour les machines XP/2003, mais certaines applications clientes peuvent avoir des problèmes. Voir cet article de MSDN pour plus de détails.

Répondu el 12 de Décembre, 2012 par HP. (2935 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X