利用Nessus漏掃工具對Windows Server 2012 R2系統進行漏洞掃描，發現漏洞如下表所示。

本期文章就以上表的系統漏洞為案例向各位小夥伴總結分享相關的修複方案。

通過修改Windows Server 2012 R2系統“SSL 密碼套件順序”的配置修複上表的系統漏洞。

備注：

密碼套件是一組加密算法。TLS/SSL協議的schannel SSP實現使用密碼套件中的算法來創建密鑰和加密信息。密碼套件為以下每種任務指定一種算法：密鑰交換、批量加密和消息驗證。

密鑰交換算法：保護創建共享密鑰所需的信息。這些算法是非對稱的 (公鑰算法) ，并且對于相對較少的數據性能良好。

批量加密算法：對客戶端和服務器之間交換的消息進行加密。這些算法是對稱的，适用于大量數據。

消息身份驗證：算法生成消息哈希和簽名，以确保消息的完整性。

在命令提示符（CMD）中，輸入命令“gpedit”打開系統“本地組策略編輯器”；依次打開管理模闆->網絡->SSL配置設置->SSL密碼套件順序（雙擊）。

默認情況下，SSL密碼套件順序處于未配置的狀态。

設置“已啟用”，并且使用TLS 1.2 SHA256 和 SHA384 密碼套件和TLS 1.2 ECC GCM 密碼套件替代系統默認的SSL密碼套件。

系統默認SSL密碼套件：

TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA

TLS 1.2 SHA256 和 SHA384 密碼套件和TLS 1.2 ECC GCM 密碼套件：

TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521

替換完畢後，點擊“确認”，然後重啟服務器生效；

通過Nessus漏掃工具重新對系統進行掃描，可驗證上表的系統漏洞已成功修複。

不同的Windows操作系統版本采用SSL密碼套件略有不同，本期文章是以Windows Server 2012 R2為測試系統對上表系統漏洞進行修複和驗證。

以上分享，希望各位小夥伴有所收獲，不足之處，歡迎各位小夥伴留言指正。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!