之前遇到漏扫软件扫出⼀台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,⼜在在⽹上查了很多⽂章,基本都是CtrlCV毫⽆作⽤,于是⾃⼰翻看了漏洞信息后弄了个修复⽅法。以下仅根据漏洞信息从修复⽅向讨论如何确认漏洞是否存在和修复⽅法。

确认漏洞是否存在

根据漏洞信息提示,当远程连接使⽤了DES/3DES加密套件时,漏扫便会判断存在CVE-2016-2183漏洞。于是使⽤nmap对3389进⾏验证,注意nmap要使⽤最新版本(7.92可⽤),⽼版本nmap(7.8不可⽤)不允许扫描本机,⽆法验证。

下载nmap

下载nmap,最好选择win32.zip,⽅便上传到服务器内执⾏。上传到服务器,解压后在nmap⽬录输⼊以下命令:

1
.\nmap.exe -p 3389 --script ssl-enum-ciphers localhost
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Starting Nmap 7.98 ( https://nmap.org ) at 2026-01-14 10:28 +0800
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0010s latency).
Other addresses for localhost (not scanned): ::1

PORT     STATE SERVICE
3389/tcp open  ms-wbt-server
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.62 seconds

也可以选择exe安装文件操作起来更方便。

查看套件中是否存在DES/3DES加密套件,若存在则确认漏洞存在。(上图是修复之后的结果)

漏洞修复⽅法

本地策略处更改SSL密码套件

⽹络上常⻅⽅法是在本地策略(win+R 输⼊ gpedit.msc)—本地计算机—Windows设置—管理模板—⽹络—SSL配置设置—SSL密码套件顺序处更改新的加密套件。这种⽅法不做详细说明,不推荐使⽤该⽅法。想了解的⾃⾏查阅⽹上其他⽂章,讲得实在太杂乱了且复制套件时容易出错或者完全⽆效。

使⽤FIPS加密

该⽅式是使⽤FIPS兼容算法替换原有加密⽅式,设置⽅式为本地策略(win+R 输⼊ gpedit.msc)—本地计算机—Windows设置—安全设置—安全选项—系统加密:将FIPS兼容算法⽤于加密、哈希和签名。这种⽅法不做详细说明,不推荐使⽤该⽅法。该⽅法会导致部分堡垒机的远程连接失效,还会使Windows其他的⼀些补丁失效,得不偿失。

使⽤IISCrypto禁⽤密码套件(推荐)

该⽅法是通过注册表禁⽤DES/3DES加密⽅式,配置界⾯便捷⽅便。⾸先下载IISCrypto.exe,直接下载IIS Crypto GUI并上传到服务器,打开后界⾯如图(此处已加固):

直接点击左下⻆推荐设置Best Practices,再取消勾选Ciphers框⾥的Triple DES 168,即可点击Apply并重启,此时使⽤nmap复查发现DES/3DES加密套件已消失,漏洞修复完成。推荐使⽤该⽅法进⾏修复,操作便捷不易出错,且漏洞修复确定性100%,缺点是不能批量修复,需要逐台登录上传执⾏操作。

注册表修改值

此⽅式与修复⽅式3类似,均是通过修改注册表值,以达到禁⽤或直接删除DES/3DES加密套件。此处给出两个注册表修改⽅法.