是否有 nmap ssl-enum-ciphers 不返回所有 TLS 1.2 密码套件的解决方案?
Is there a resolution to nmap ssl-enum-ciphers not returning all TLS 1.2 cipher suites?
Microsoft 列出了在 Windows Server 2016 Build 1607 的原始安装中启用的 TLS 1.2 协议可用的 36 个密码套件:
- 不包括仅在应用程序明确请求时使用的 2 个密码套件
- 来源:https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1607
计算 enabled=false Ciphers 和 KeyExchangeAlgorithms(注册表 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL),并验证 Cipher Suite Order 和 Elliptic Curve Order 是默认值(gpedit.msc),已启用的密码套件列表减少到 32.
为什么 nmap 7.9.1 return 只有 10 个密码套件?
nmap --script ssl-enum-ciphers -p3389 TestServerName.domain.tld
results
4 x TLS_DHE_RSA_WITH_AES_*, and
6 x TLS_ECDHE_RSA_WITH_AES_*
nmap.org 线程“ssl-enum-ciphers not returning all ciphers”的最新更新是 2019 年 7 月 23 日:https://seclists.org/nmap-dev/2019/q3/4
有人解决过这个问题吗?
PS 单个网络跟踪帧中的 TLS 版本不同(如下所示),我不确定这是问题的一部分还是无关。
我了解到,在 Windows 设备上启用的有序密码套件集是在注册表中函数值的值数据中定义的:
HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL[=10=]010002
这可以在创建组策略对象期间填充,或在本地使用组策略编辑器(即选择“启用”并编辑列表 and/or 密码套件顺序)。
如果缺少 Functions 值,则 Windows 的版本和内部版本默认启用密码套件的有序集合:
https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel
Microsoft 列出了在 Windows Server 2016 Build 1607 的原始安装中启用的 TLS 1.2 协议可用的 36 个密码套件:
- 不包括仅在应用程序明确请求时使用的 2 个密码套件
- 来源:https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1607
计算 enabled=false Ciphers 和 KeyExchangeAlgorithms(注册表 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL),并验证 Cipher Suite Order 和 Elliptic Curve Order 是默认值(gpedit.msc),已启用的密码套件列表减少到 32.
为什么 nmap 7.9.1 return 只有 10 个密码套件?
nmap --script ssl-enum-ciphers -p3389 TestServerName.domain.tld
results
4 x TLS_DHE_RSA_WITH_AES_*, and
6 x TLS_ECDHE_RSA_WITH_AES_*
nmap.org 线程“ssl-enum-ciphers not returning all ciphers”的最新更新是 2019 年 7 月 23 日:https://seclists.org/nmap-dev/2019/q3/4
有人解决过这个问题吗?
PS 单个网络跟踪帧中的 TLS 版本不同(如下所示),我不确定这是问题的一部分还是无关。
我了解到,在 Windows 设备上启用的有序密码套件集是在注册表中函数值的值数据中定义的:
HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL[=10=]010002
这可以在创建组策略对象期间填充,或在本地使用组策略编辑器(即选择“启用”并编辑列表 and/or 密码套件顺序)。
如果缺少 Functions 值,则 Windows 的版本和内部版本默认启用密码套件的有序集合: https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel