网站服务器windows系统TLS/SSL弱密码套件漏洞问题处理

漏洞说明:

SSL / TLS协议是一种安全协议，目的是为互联网通信，提供安全及数据完整性保障。该漏洞允许远程攻击者获取敏感信息。

Windows Server 2008或2012、2016远程桌面服务SSL加密默认是开启的，且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷，当开启远程桌面服务，使用漏洞扫描工具扫描，发现存在SSL/TSL漏洞。

问题解决：

命令提示符(CMD)中，输入命令"gpedit“打开系统"本地组策路编辑器”;依次打开管理模板->网络->SSL配置设置->SSL密码套件顺序(双击)

设置到已启用，并且在SSL密码套件中删除默认套件，更换下面套件：

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_PSK_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

完成之后，点击确定重启iis或者重启服务器生效。

测试验证：

1，PowerShell

输入Get-TlsCipherSuite命令会显示现在在用的安全套件，可以检查是否还有包含不安全的安全套件

Get-TlsCipherSuite

2，nmap

nmap -sV --script ssl-enum-ciphers -p 443 -Pn 目标IP

-sV（服务版本探测）：尝试识别目标端口上运行的服务及其版本信息。

--script ssl-enum-ciphers（SSL 加密套件枚举脚本）：调用 Nmap 的 ssl-enum-ciphers 脚本，检测目标端口支持的 SSL/TLS 加密算法（如 AES、RSA、ECDHE 等）及其安全性。

-p 443 （指定端口）

-Pn（跳过主机发现）： 直接扫描目标，不发送 ICMP 探测（Ping）来确认主机是否在线