Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183) --亲测

漏洞说明：

打开链接：https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

可以看到：

找到：应通过配置密码套件顺序来控制 TLS/SSL 密码

我们进行查看 在 Windows 中管理传输层安全性 (TLS) | Microsoft Learn 

可以看到官方有给出的解决方案

打开服务器，运行gpedit.msc，打开“本地组策略编辑器”，依次打开计算机配置-管理模板-网络-SSL配置设置。

打开“SSL密码套件顺序”，更改为已启用，并修改套件算法，去掉TLS1.1版本算法。

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

替换成以上内容，重启，复扫，OK。

重新加载

gpupdate
或者
gpupdate/force

修改方式2：注册表删除DES/3DES加密套件

注册表编辑器（Win+R输入regedit），复制

计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

到路径跳转，点击Functions如图（已加固）
 

在其中找到DES/3DES字样加密套件并删除确定，重启后漏洞修复。

更新策略

gpupdate
或者
gpupdate/force