Защита Windows от уязвимости в SSL v3

В октябре инженеры Google опубликовали информацию о критической уязвимости в SSL версии 3.0, получившей забавное название POODLE (Padding Oracle On Downgraded Legacy Encryption или пудель 🙂 ). Уязвимость позволяет злоумышленнику получить доступ к информации, зашифрованной протоколом SSLv3 с помощью атаки «man in the middle». Уязвимости подвержены как серверы, так и клиенты, которые могут соединяться по протоколу SSLv3.

В общем-то ситуация не удивительная, т.к. протоколу SSL 3.0, впервые представленного еще в 1996 году, уже исполнилось 18 лет и морально он уже устарел. В большинстве практических задач его уже заменил криптографический протокол TLS (версий 1.0, 1.1 и 1.2).

Для защиты от уязвимости POODLE рекомендуется полностью отключить поддержку SSLv3 как на стороне клиента, так и на стороне сервера и в дальнейшем использовать только TLS. Для пользователей устаревшего ПО (например, использующих IIS 6 на Windows XP) это означает, что они более не смогут просматривать HTTPS страницы и использовать другие SSL-сервисы . В том случае, если поддержка SSLv3 не отключена полностью, а по умолчанию предлагается используется более сильное шифрование, уязвимость POODLE все равно будет иметь место. Связано это с особенностями выбора и согласования протокола шифрования между клиентом и сервером, т.к. при обнаружении неисправностей в использовании TLS, происходит автоматический переход на SSL.

Рекомендуем проверить все свои сервисы, которые могут использовать SSL/TLS в любом виде и отключить поддержку SSLv3. Проверить свой веб-сервер на наличие уязвимости можно с помощью онлайн теста, например, тут: http://poodlebleed.com/ .

Отключаем SSLv3 в Windows на уровне системы

В ОС Windows управление поддержкой протоколов SSL/TLS осуществляется через реестр.

В этом примере мы покажем, как полностью на уровне системы (как на уровне клиента, так и сервера) отключить SSLv3 в Windows Server 2012 R2:

1. Откройте редактор реестра (regedit.exe) с правами администратора
2. Перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\
3. Создайте новый раздел с именем SSL3.0 (New->Key)
4. В созданном разделе SSL3.0 создайте еще два подраздела с именами Client и Server.
5. Затем в разделе Client создайте новый параметр типа DWORD (32-bit) с именем DisabledByDefault
6. В качестве значения ключа DisabledByDefault укажем 1.
7. Затем в ветке Server создайте новый параметр типа DWORD (32-bit) с именем Enabled и значением 0.
8. Для вступления изменений в силу необходимо перезагрузить сервер

Отключаем SSLv2 (Windows 2008 / Server и ниже)

В ОС, предшествующих Windows 7 / Windows Server 2008 R2 по-умолчанию используется еще менее безопасный и устаревший протокол SSL v2, который также следует отключить из соображений безопасности (в более свежих версиях Windows, SSLv2 на уровне клиента отключен по умолчанию и используется только SSLv3 и TLS1.0). Для отключения SSLv2 нужно повторить описанную выше процедуру, только для раздела реестра SSL 2.0.

В Windows 2008 / 2012 SSLv2 на уровне клиента отключен по умолчанию.

Включаем TLS 1.1 и TLS 1.2 в Windows Server 2008 R2 и выше

Windows Server 2008 R2 / Windows 7 и выше поддерживают алгоритмы шифрования TLS 1.1 и TLS 1.2, но по-умолчанию эти протоколы отключены. Включить поддержку TLS 1.1 и TLS 1.2 в этих версиях Windows можно по схожему сценарию

1. В редакторе реестра откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
2. Создайте два раздела TLS 1.1 и TLS 1.2
3. Внутри каждого раздела создайте по подразделу с именами Client и Server
4. В каждом из разделов Client и Server создайте по ключу типа DWORD:
   • DisabledByDefault со значением 0
   • Enabled со значением 1
5. После внесенных изменений сервер следует перезагрузить.

Утилита для управления системными криптографическими протоколами в Windows Server

Существует бесплатная утилита IIS Crypto, позволяющая удобно управлять параметрами криптографических протоколов в Windows Server 2003, 2008 и 2012. С помощью данной утилиты включить или отключить любой из протоколов шифрования можно всего в два клика.

В программе уже есть несколько шаблонов, позволяющие быстро применить предустановки для различных вариантов настроек безопасности.

Iis crypto windows 2003

Вечная память.
[SoftoRooMTeaM]

Группа: Администраторы
Сообщений: 8.232
Регистрация: 3.06.2004
Из: Донецк
Пользователь №: 10

Респектов: 556

профи!
[SoftoRooMTeaM]

Группа: СуперМодераторы
Сообщений: 8.829
Регистрация: 2.05.2006
Из: Венесуэльский край
Пользователь №: 158.398

Респектов: 5445

профи!
[SoftoRooMTeaM]

Группа: СуперМодераторы
Сообщений: 8.829
Регистрация: 2.05.2006
Из: Венесуэльский край
Пользователь №: 158.398

Респектов: 5445

DesktopOK — небольшая бесплатная и портативная (не требующая установки) программа, предназначенная для сохранения и восстановления местоположения иконок на рабочем столе.
Утилита запоминает настройки для различных пользователей, позволяет сохранять позицию иконок для разных разрешений экрана.
Operating systems:
Windows 7, Windows 8.1 and 8, Windows Server 2008, Windows Vista, Windows 2003, Windows XP, Windows 2000, Windows Me, Windows NT, Windows 98

профи!
[SoftoRooMTeaM]

Группа: СуперМодераторы
Сообщений: 8.829
Регистрация: 2.05.2006
Из: Венесуэльский край
Пользователь №: 158.398

Респектов: 5445

Power Watts PC 2.5 beta 1

Power Watts PC — программа для расчёта мощности блока питания (новая версия). Один из самых простых и надёжных способов рассчитать блок питания для ПК. Обновили домашний компьютер и не знаете достаточно ли для него блока питания, который остался от старого компьютера. Собираете компьютер но не знаете какой блок питания нужен. Интересно сколько потребляет компьютер при максимальной нагрузке или сколько потребляют отдельные компоненты системы.
Дополнительная информация:

тут-та-ту
[SoftoRooMTeaM]

Группа: Модераторы
Сообщений: 10.906
Регистрация: 3.04.2008
Из: Russia SPb
Пользователь №: 827.869

Респектов: 4345

Features
Single click to secure your site using best practices
Stop BEAST and POODLE attacks
Easily disable SSL 2.0 and SSL 3.0
Enable TLS 1.1 and 1.2
Disable other weak protocols and ciphers
Enable forward secrecy
Reorder cipher suites
Templates for compliance with government and industry regulations — FIPS 140-2 and PCI
What Does IIS Crypto Do?

IIS Crypto updates the registry following this article from Microsoft. We have tested IIS Crypto on Windows Server 2003, 2008, 2008 R2 and 2012 and 2012 R2.
Note — Windows Server 2003 does not support the reordering of SSL cipher suites offered by IIS. However, you can still disable weak protocols and ciphers. Also, Windows Server 2003 does not come with the AES cipher suite. Microsoft has a hotfix for this.

IIS Crypto Version History

профи!

Группа: Наши Люди
Сообщений: 1.683
Регистрация: 9.10.2006
Пользователь №: 244.572

Респектов: 1042

тут-та-ту
[SoftoRooMTeaM]

Группа: Модераторы
Сообщений: 10.906
Регистрация: 3.04.2008
Из: Russia SPb
Пользователь №: 827.869

Респектов: 4345

Public DNS Server Tool — удобная утилита, которая помогает быстро сменить адрес DNS сервера. Учитывая, что в последнее время появилось много сервисов, предлагающие публичные сервера, необходима утилита, которая сможет быстро их менять.

Особенности:
— Легкая настройка серверов.
— Множество уровней безопасности.
— Блокировка сайтов не для семьи.
— Восемь предустановленных серверов.
— Блокировка вредоносных сайтов.
— Быстрое переключение.

Windows 7, Windows XP, Windows Vista, Windows 8

тут-та-ту
[SoftoRooMTeaM]

Группа: Модераторы
Сообщений: 10.906
Регистрация: 3.04.2008
Из: Russia SPb
Пользователь №: 827.869

Респектов: 4345

Эта утилита с определенным интервалом времени измеряет задержку выполнения отложенных процедур.ными словами насколько быстро будет обработаны данные.

Полезна, в частности, для диагностики и решения проблем с воспроизведением звука и видео.

Если задержка большая, то при воспроизведении музыки или видео нужные данные просто не обрабатываются вовремя. Из-за этого и возникают заедания и хрипы.

Если включить музыку или видео, то можно заметить, что заедания, щелчки и хрипы возникают, когда столбики красные. Красные столбики означают большую задержку обработки данных. Это значит, что некоторые звуки или кадры видео просто не успевают вовремя обработаться процессором. В результате получаются различные ошибки воспроизведения звука и видео. Наша задача состоит в том, чтобы избавиться от красных столбиков.

В большинстве случаев большая задержка отложенного вызова процедур связана с неправильно работающими драйверами. В первую очередь это драйверы для сетевых карт, Wi-Fi-адаптеров и, собственно, драйверы на звук. Далее идут драйверы на Intel Turbo Memory (если такой адаптер есть), драйверы для видеокарты и чипсета.

Важное замечание: сама величина задержки (высота столбика) напрямую зависит от мощности и загруженности процессора. Наличие большого числа красных столбиков может быть вполне нормальным явлением при сильной загрузке процессора.

Как же определить какой драйвер неправильно работает? Все просто: открываете Диспетчер устройств и по очереди отключаете устройства.
Принцип простой: отключили устройство — посмотрели есть ли красные столбики в утилите DPC Latency Checker. Если есть, то обратно включаете устройство и отключаете следующее. Включить устройство можно аналогично через меню.

И так. Драйвер, который вызывает проблему, найден, осталось найти подхоящий. В некоторых случаях производители ноутбуков вносят изменения в драйвера для своих ноутбуках. Яркий пример — гибридная графика (когда на ноутбуке есть как встроенная в чипсет видеокарта, так и внешняя). Зачастую они корректно работают только на драйверах от производителя ноутбука. Многие спешат обновить свои драйвера, и именно на сторонние сайты, думают, что от этого их ноутбук просто залетает. Зачастую этого не происходит. Другой причиной являются сбои и ошибки. В этом случае драйвера обновлять стоит.

Windows 7, Windows 7 x64, Windows Vista, Windows Vista x64, Windows Server 2003, Windows Server 2003 x64, Windows XP, Windows XP x64, Windows 2000