Защита Windows от уязвимости в SSL v3 | Windows для системных администраторов

Защита Windows от уязвимости в SSL v3

В октябре инженеры Google опубликовали информацию о критической уязвимости в SSL версии 3.0, получившей забавное название  POODLE (Padding Oracle On Downgraded Legacy Encryption или пудель :) ). Уязвимость позволяет злоумышленнику получить доступ к информации, зашифрованной протоколом SSLv3 с помощью атаки «man in the middle». Уязвимости подвержены как серверы, так и клиенты, которые могут соединяться по протоколу SSLv3.

В общем-то ситуация не удивительная, т.к. протоколу SSL 3.0, впервые представленного еще в 1996 году, уже исполнилось 18 лет и морально он уже устарел. В большинстве практических задач его уже заменил криптографический протокол TLS (версий 1.0, 1.1 и 1.2).

Для защиты от уязвимости POODLE рекомендуется полностью отключить поддержку SSLv3 как на стороне клиента, так и на стороне сервера и в дальнейшем использовать только  TLS. Для пользователей устаревшего ПО (например, использующих IIS 6 на Windows XP) это означает, что они более не смогут просматривать HTTPS страницы и использовать другие SSL-сервисы .  В том случае, если поддержка SSLv3 не отключена полностью, а по умолчанию предлагается используется более сильное шифрование, уязвимость POODLE все равно будет иметь место. Связано это с особенностями выбора и согласования протокола шифрования между клиентом и сервером, т.к. при обнаружении неисправностей в использовании TLS, происходит автоматический переход на SSL.

Рекомендуем проверить все свои сервисы, которые могут использовать SSL/TLS в любом виде и отключить поддержку SSLv3. Проверить свой веб-сервер на наличие уязвимости можно с помощью онлайн теста, например, тут: http://poodlebleed.com/.

Примечание. Нужно четко понимать, что отключение SSL v3 на уровне всей системы будет работать только для ПО, которое использует системные API для SSL-шифрования (Internet Explorer, IIS, WebDav , SQL NLA, RRAS, Direct Access и др.). Программы, которые используют собственные крипто средства (Firefox, Opera и т.д.) нужно обновить и настроить индивидуально.

Отключаем SSLv3 в Windows на уровне системы


В ОС Windows управление поддержкой протоколов SSL/TLS осуществляется через реестр.

Совет. Перед выполнением указанных изменений рекомендуем создать резервную копию указанной ветки с помощью функции редактора реестра Экспорт.

В этом примере мы покажем, как полностью на уровне системы (как на уровне клиента, так и сервера) отключить SSLv3 в Windows Server 2012 R2:

  1. Откройте редактор реестра (regedit.exe) с правами администратора
  2. Перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\Настройка протоколов шифрования через реестра Windows Server 2012 R2
  3. Создайте новый раздел с именем SSL 3.0 ( New -> Key)Раздел с настройками SSL v3
  4. В созданном разделе SSL 3.0 создайте еще два  подраздела с именами Client и Server.
  5. Затем в разделе Client создайте новый параметр типа DWORD (32-bit) с именем DisabledByDefault
  6. В качестве значения ключа DisabledByDefault укажем 1.Отключить SSL 3 в Windows
  7. Затем в ветке Server создайте новый параметр типа DWORD (32-bit)  с именем Enabled и значением 0. Отключить SSL версии 3 на уровне сервера
  8. Для вступления изменений в силу необходимо перезагрузить сервер

Отключаем SSLv2 (Windows 2008 / Server и ниже)


В ОС, предшествующих Windows 7 / Windows Server 2008 R2  по-умолчанию используется еще менее безопасный и устаревший протокол SSL v2, который также следует отключить из соображений безопасности (в более свежих версиях Windows, SSLv2 на уровне клиента отключен по умолчанию и используется только SSLv3 и TLS1.0). Для отключения SSLv2 нужно повторить описанную выше процедуру, только для раздела реестра SSL 2.0.

SSL v2 отключаем в старых версиях Windows

В Windows 2008 / 2012 SSLv2 на уровне клиента отключен по умолчанию.

Включаем TLS 1.1 и TLS 1.2 в Windows Server 2008 R2  и выше

Windows Server 2008 R2 / Windows 7 и выше поддерживают алгоритмы шифрования TLS 1.1 и TLS 1.2, но по-умолчанию эти протоколы отключены. Включить поддержку TLS 1.1 и TLS 1.2 в этих версиях Windows можно по схожему сценарию

  1. В редакторе реестра откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  2. Создайте два раздела TLS 1.1 и TLS 1.2
  3. Внутри каждого раздела создайте по подразделу с именами Client и Server
  4. В каждом из разделов Client и Server создайте по ключу типа DWORD:
    • DisabledByDefault со значением 0
    • Enabled со значением 1
  5. После внесенных изменений сервер следует перезагрузить.Включить TLS 1.1 и TLS 1.2 в Windows 2012 R2

Утилита для управления системными криптографическими протоколами в Windows Server

Существует бесплатная утилита IIS Crypto, позволяющая удобно управлять  параметрами криптографических протоколов в Windows Server 2003, 2008 и  2012. С помощью данной утилиты включить или отключить любой из протоколов шифрования можно всего в два клика.

IIS Crypto - утилита для управления протоколами шифрования в Windows

В программе уже есть несколько шаблонов, позволяющие быстро применить предустановки для различных вариантов настроек безопасности.

Еще записи по теме: Windows Server 2012 R2
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 4

Оставить комментарий
  1. ColdRain | 01.03.2015

    Здравствуйте! Спасибо за статью.
    Подскажите, как убедиться, что после внесения в реестр данных изменений используется именно TLS шифрование?
    Соединение с _https://online.sberbank.ru
    Windows 7 prof. SP1 x64.

    Ответить
  2. itpro | 03.03.2015

    Выполните проверку сайта с помощью сайта:
    _http://poodlebleed.com/
    The server at online.sberbank.ru does not accept SSL 3.0 connections and thus is not vulnerable to Poodlebleed.

    Ответить
    • ColdRain | 05.03.2015

      Спасибо! Судя по ответу от poodlebleed.com, при моем соединении со сбербанком используется tls

      Ответить
  3. K0NCTANT1N | 12.11.2015

    Спасибо за статью, но мне подошел вариант через GPO http://www.bauer-power.net/2014/06/how-to-enabled-tls-11-and-tls-12-in.html

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.02102 sec