禁用schannel中的DES SHA

Question

我有几个IIS服务器，包括IIS 6和7.x。当我运行外部PCI扫描时，我仍然会收到警报，提示启用了DES弱协议。

我设置了以下注册表项以禁用弱协议。我的理解是，关闭这个协议，这是包括在DES条目的顶端。

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Ciphers/DES 56/56:  Enabled=0
Ciphers/RC2 40/128: Enabled=0
Ciphers/RC4 40/128: Enabled=0
Protocols/SSL 2.0/Server: Enabled=0
Protocols/PCT 1.0/Server: Enabled=0

我的报告指出，TLSv1和SSLv3都启用了该协议。

如果我在我的设置中遗漏了什么东西会造成这种显示呢？如何通过内部诊断来验证扫描是否准确？

Answer 1

假设IIS7.x的设置位于这里: Start > gpedit.msc > Computer Configuration > Admin > Network > SSL配置设置> SSL密码套件顺序

若要以消除问题的方式设置顺序，请检查我在这里的答案：如何在IIS上修复SSL2.0及其猛兽

此外，虽然我怀疑它是否像您的PCI遵从性扫描那样全面，但您可以在Qualys实验室服务器测试上检查您的设置，以此作为您如何使用修复程序的指标。

不幸的是，这些设置是在IIS 6.0中进行的，没有可用的解决方案。