Windows Server 2019 CVE-2016-2183漏洞修复

安安

2021 年 09 月 02 日

7526 次浏览

暂无评论

3003字数

安全

## 问题

使用绿盟漏扫设备对某台windows进行扫描，报告如下问题

| 受影响主机 | x.x.x.x; [点击查看详情](#); |
| :------------- | ------------------------------------------------------------ |
| 详细描述   | TLS是安全传输层协议，用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界，这可使远程攻击者通过Sweet32攻击，获取纯文本数据。 <*来源：Karthik Bhargavan        Gaetan Leurent    链接：https://www.openssl.org/news/secadv/20160922.txt *> |
| 解决办法   | 建议：避免使用DES算法 1、OpenSSL Security Advisory [22 Sep 2016] 链接：https://www.openssl.org/news/secadv/20160922.txt 请在下列网页下载最新版本：   https://www.openssl.org/source/ 2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法  主要是修改conf文件 3、Windows系统可以参考如下链接： https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016 |
| 威胁分值   | 7.5                                                          |
| 危险插件   | 否                                                           |
| 发现日期   | 2016-08-31                                                   |
| CVE编号    | [CVE-2016-2183](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183) |
| BUGTRAQ    | [92630](http://www.securityfocus.com/bid/92630)              |
| NSFOCUS    | [34880](http://www.nsfocus.net/vulndb/34880)                 |
| CNNVD编号  | [CNNVD-201608-448](http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201608-448) |
| CNCVE编号  | CNCVE-20162183                                               |
| CVSS评分   | 5.0                                                          |
| CNVD编号   | [CNVD-2016-06765](http://www.cnvd.org.cn/flaw/show/CNVD-2016-06765) |

## 修复办法

1、登录服务器，打开windows powershell，运行gpedit.msc，打开“本地组策略编辑器”。
![](https://blog.90.vc/usr/uploads/2021/09/1372064627.png)

2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”， 在“SSL密码套件顺序”选项上，右键“编辑”。

![](https://blog.90.vc/usr/uploads/2021/09/3067436216.png)

![](https://blog.90.vc/usr/uploads/2021/09/934657014.png)

3、在“SSL密码套件顺序”选在“已启用（E）” ，在“SSL密码套件”下修改SSL密码套件算法，仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
将原有内容替换为如下内容：

```
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
```

修改后，点击“应用”、“确定”，即可。
![](https://blog.90.vc/usr/uploads/2021/09/408527592.png)

4、重启服务器即可。

最后修改：2021 年 09 月 02 日