漏洞说明:
打开链接:https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
可以看到:
找到:应通过配置密码套件顺序来控制 TLS/SSL 密码
我们进行查看 在 Windows 中管理传输层安全性 (TLS) | Microsoft Learn
可以看到官方有给出的解决方案
打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,依次打开计算机配置-管理模板-网络-SSL配置设置。
打开“SSL密码套件顺序”,更改为已启用,并修改套件算法,去掉TLS1.1版本算法。
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA替换成以上内容,重启,复扫,OK。
重新加载
gpupdate
或者
gpupdate/force修改方式2:注册表删除DES/3DES加密套件
注册表编辑器(Win+R输入regedit),复制
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
到路径跳转,点击Functions如图(已加固)
在其中找到DES/3DES字样加密套件并删除确定,重启后漏洞修复。
更新策略
gpupdate
或者
gpupdate/force
