微软指导SSL 3.0的解决方法，包括每用户，组策略以及计算机注册表方面。

ELOHIM

[mw_shl_code=css,true]微软安全咨询 3009008
在 SSL 3.0 中的漏洞可能允许信息泄露

出版日期： 2014 年 10 月 14 日 |更新时间： 2014 年 10 月 15 日  版本： 1.1

一般信息

执行摘要

微软是意识到已发表了描述一种新的方法来利用 SSL 3.0 中的漏洞的详细信息。这是一种全行业漏洞影响 SSL 3.0 协议本身并不是特定于 Windows 操作系统。所有受支持的版本的 Microsoft Windows 执行本议定书，并都受此漏洞影响。微软并不是意识的尝试，这次使用的已报告的漏洞的攻击。考虑攻击情形中，此漏洞不是高风险的客户。我们正在积极与合作伙伴在我们微软积极保护程序 （MAPP） 提供信息，他们可以使用为客户提供更广泛的保障。在这项调查完成后，微软将采取适当的行动来帮助保护我们的客户。这可能包括提供一个安全更新通过我们每月的发行过程或提供循环出的安全更新，具体取决于客户的需求。

缓解因素：
• 该攻击者必须使几个几百 HTTPS 请求之前的攻击可能会成功。
•TLS 1.0、 TLS 1.1、 1.2 TLS 和不使用 CBC 模式的所有密码套件不受影响。

建议。请参阅此公告的详细信息的建议操作部分。

受影响的软件/操作系统

Windows Server 2003 Service Pack 2
Windows Server 2003 x 64 Service Pack 2
Windows Server 2003 sp2 为基于 Itanium 的系统
Windows Vista Service 2 Pack
Windows Vista x 64 版 Service Pack 2
Windows Server 2008 为 32 位系统 Service Pack 2
Windows Server 2008 基于 x64 的 Service Pack 2
Windows Server 2008 为基于 Itanium 的系统 Service Pack 2
Windows 7 的 32 位系统 Service Pack 1
Windows 7 的基于 x64 的系统 Service Pack 1
Windows Server 2008 R2 为基于 x64 的系统 Service Pack 1
Windows Server 2008 R2 为基于 Itanium 的系统 Service Pack 1
对于 32 位系统的 Windows 8
Windows 8 的基于 x64 的系统
Windows 8.1 对于 32 位系统
基于 x64 的系统的 Windows 8.1
Windows 2012 Server
Windows Server 2012 R2
RT Windows
Windows RT 8.1

服务器核心安装选项

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)

咨询常见问题

咨询的范围是什么？
此公告的目的是通知客户微软是意识到描述一种新的方法来利用漏洞影响 SSL 3.0 的详细信息。此漏洞是一个信息泄露漏洞。
攻击者可能如何利用此漏洞？
在(MiTM) 攻击中，攻击者可能会下调美国加密的 TLS 会话，迫使客户端使用 SSL 3.0，然后再强迫浏览器执行恶意代码。此代码将几个请求发送到目标的 HTTPS 网站，在那里 cookie 会被发送自动如果以前通过身份验证会话存在。这是所需的条件，从而利用此漏洞。攻击者然后可以拦截此 HTTPS 通信，并通过利用 SSL 3.0 中的 CBC 块节拍的弱点，可以解密加密的通讯 （如身份验证 cookie） 的部分。
什么可能的攻击者利用此漏洞做？
攻击者成功利用此漏洞可以解密加密的通信部分。
是什么原因导致此漏洞？
此漏洞是由 SSL 3.0 CBC 加密算法的缺点引起的。
SSL 是什么？
安全套接字层 (SSL) 是一种加密的协议，提供了通信安全。
TLS 是什么？
传输层安全 (TLS) 是用于在互联网上或在 intranet 上提供安全的 web 通信的标准协议。它允许客户端进行身份验证服务器或 （可选），服务器对客户端进行身份验证。它还提供了一个安全通道，通过加密的通信。TLS 是最新版本的安全套接字层 (SSL) 协议。
TLS 被受此问题吗？
这个问题是特定于 SSL 3.0。
这是一个全行业问题吗？
是的。此漏洞驻留在 SSL 3.0 协议的设计中，并不局限于微软的执行。

建议采取的行动
适用变通办法
解决方法是指设置或配置的更改不能解决根本的问题，但会帮助阻止已知的攻击媒介之前有可用的安全更新。

• 禁用 SSL 3.0 和启用 TLS 1.0、 TLS 1.1 版和 Internet Explorer 中的 TLS 1.2

通过修改 Internet Explorer 中的高级安全性设置，可以禁用 SSL 3.0 协议在 Internet explorer 中。

若要更改用于 HTTPS 请求的默认协议版本，请执行以下步骤：

1.在互联网浏览器的工具菜单上，单击 Internet 选项。

2.在 Internet 选项对话框中，单击高级选项卡。

3.在安全类别中，取消选中使用 SSL 3.0 并检查使用 TLS 1.0、 使用 TLS 1.1 版和使用 TLS 1.2 （如果可用）。

4.单击确定。

5.退出并重新启动互联网浏览器。

注意后应用这种变通方法，Internet Explorer 将无法连接到 Web 服务器仅支持 SSL 3.0 到并且不支持 TLS 1.0、 TLS 1.1 版和 TLS 1.2。

• 禁用 SSL 3.0 和互联网资源管理器在组策略中启用 TLS 1.0、 TLS 1.1 版和 TLS 1.2

您可以通过修改打开关闭加密支持组策略对象禁用 SSL 3.0 协议在 Internet explorer 中通过组策略支持。

1.打开组策略管理。

2.选择组策略对象来修改，右键单击并选择编辑。

3.在组策略管理编辑器，请浏览到以下设置：

-> 加密支持关闭高级页 Internet 控制面板 Internet Explorer 的 Windows 组件的管理模板的计算机配置

4.Double-单击关闭加密支持设置可编辑的设置。

5.单击启用。

6.在选项窗口中更改安全协议组合将设置为"使用 TLS 1.0，TLS 1.1 中，并使用 TLS 1.2"。

7.单击确定。

备注： 管理员应确保通过将 GPO 链接到相应的 OU 在其环境中适当应用此组策略。
注意后应用这种变通方法，Internet Explorer 将无法连接到 Web 服务器仅支持 SSL 3.0 到并且不支持 TLS 1.0、 TLS 1.1 版和 TLS 1.2。

• 禁用 SSL 3.0 在Windows中

您可以通过执行下列步骤禁用 Windows 上的 SSL 3.0 协议的支持：

1.单击开始，单击运行，键入 regedt32 或键入 regedit，然后单击确定。

2.在注册表编辑器中，找到以下注册表项：

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server

请注意是否完整的注册表项路径不存在，则可以通过扩展可用键并使用-> 密钥选项从编辑菜单中新创建它。

3.在编辑菜单上，单击添加值。

4.在数据类型列表中，单击 dword 值。

5.在数值名称框中，键入启用，，然后单击确定。

注意此值是否存在，请双击要编辑其当前值的值。

6.键入 00000000 在二进制编辑器中设置的值为"0"的新关键平等。

7.单击确定。重新启动计算机。

请注意此变通方法将为所有的服务器软件安装在系统上，包括 IIS 禁用 SSL 3.0。
注意应用此变通方法后，只依赖 SSL 3.0 的客户端将不能与服务器进行通信。

其他建议采取的行动

• 保护您的 PC

我们继续鼓励客户按照我们保护您的计算机启用了防火墙，获取软件更新和安装防病毒软件的指导。更多的信息，请参阅 Microsoft 安全 & 安全中心。

• 保持 Microsoft 软件更新

运行 Microsoft 软件应适用最新的 Microsoft 安全更新，以帮助确保用户自己的计算机是保护尽可能。如果不能确定您的软件是否最新，请访问 Microsoft 更新、 扫描您的计算机可用的更新，并安装任何高优先级更新程序为您提供。如果你有自动更新启用并配置为 Microsoft 产品提供更新，更新传递给您当他们被释放，但您应该验证它们已安装。[/mw_shl_code]

PS：卡饭自动增加行间距累死人。<原文地址>

Miostartos

8.1 X64不受影响？

ELOHIM

STCn1000 发表于 2014-10-16 11:09
8.1 X64不受影响？

大哥，发贴要认真，看贴要仔细。

基于 x64 的系统的 Windows 8.1

HEMM

看不懂太复杂，艾阁阁默认的不行吗？会死很惨？......

ELOHIM

HEMM 发表于 2014-10-16 14:01
看不懂太复杂，艾阁阁默认的不行吗？会死很惨？......

复制过来，发表以后，行间距一下增加三五行……

看起来很费劲。

realraul

64位系统，在数据类型列表中，单击 dword 值。
选32位还是64位的，谢谢

ELOHIM

realraul 发表于 2014-10-16 18:55
64位系统，在数据类型列表中，单击 dword 值。
选32位还是64位的，谢谢

如果强制开启增强保护模式，那会调用64位IE ，如果你使用组策略阻止运行增强保护模式，或者只运行32位的话，只增加32位键值就行了。

推荐把32位和64位全部增加，避免64位IE程序被SSL 3.0恶意利用。

Miostartos

ELOHIM 发表于 2014-10-16 11:10
大哥，发贴要认真，看贴要仔细。

你的私信依然无法回复。哈哈

Miostartos

ELOHIM 发表于 2014-10-16 11:10
大哥，发贴要认真，看贴要仔细。

你这魂淡怎么可能是我屏蔽你
我屏蔽你我连你私信都看不到。回复你才没权限。肯定是你屏蔽我了

ELOHIM

STCn1000 发表于 2014-10-17 19:56
你这魂淡怎么可能是我屏蔽你
我屏蔽你我连你私信都看不到。回复你才没权限。肯定是你屏蔽我了

我不敢啊，真的，你在我好友列表里面。