[研究]WebInspect報告有Insecure Transport: Insufficient Diffie Hellman Strength ( 11520 )嚴重弱點

[研究]WebInspect報告有Insecure Transport: Insufficient Diffie Hellman Strength ( 11520 )嚴重弱點

2024-10-09

下圖，WebInspect報告有Insecure Transport: Insufficient Diffie Hellman Strength ( 11520 )嚴重弱點

下圖，nmap 7.95報告只是 Warning 而已

nmap --script ssl-enum-ciphers -p 443 <server-ip>

基本上，關閉這2個 Cipher Suites 就好

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024)

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024)

********************************************************************************

【解決】

下圖，使用 IIS Crypto 3.3 Build 17 - Released October 31, 2022

https://www.nartac.com/Products/IISCrypto/Download

下載和執行 IISCrypto.exe 進行設定，若這2個有被勾選，取消勾選，重新啟動 Windows 即可。

下圖，或修改 Registry 機碼設定 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

新增或修改一個名為 ClientMinKeyBitLength 的 DWORD 值，設置其值為 2048（單位：bit），重新啟動 Windows 。

如果 nmap掃描依然存在，可能是其他問題。

下圖，直接在受測主機的本機，用 nmap 測試，居然和從別台用 nmap 掃描的結果不同，和網管詢問，得知同網段掃描會過 WAF，有可能因此受影響，其實真正的受測主機，並無此弱點。

其他經過的網通 or 資安設備可能也會影響，掃描工具盡可能要能繞過它們，否則掃描結果錯誤，拼命從受測主機上解決，根本解決不掉，因為它根本沒問題。

(完)