#tls1.2 #nmap
#tls1.2 #nmap
Вопрос:
Microsoft перечисляет 36 наборов шифров, доступных для протокола TLS 1.2, включенного в ванильную установку Windows Server 2016 Build 1607:
- исключает 2 набора шифров, доступных только для использования, когда приложение явно запрашивает
- источник: https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1607
С учетом шифров enabled= false и алгоритмов KeyExchangeAlgorithms (реестр HKLM SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL) и проверки того, что порядок наборов шифров и порядок эллиптических кривых задан по умолчанию (gpedit.msc), список включенных наборов шифров сокращается до 32.
Почему nmap 7.9.1 возвращает только 10 наборов шифров?
nmap --script ssl-enum-ciphers -p3389 TestServerName.domain.tld
results
4 x TLS_DHE_RSA_WITH_AES_*, and
6 x TLS_ECDHE_RSA_WITH_AES_*
Самое последнее обновление на nmap.org поток «ssl-enum-ciphers не возвращает все шифры» от 23 июля 2019 года: https://seclists.org/nmap-dev/2019/q3/4
Кто-нибудь решил эту проблему?
PS Существует разница в версии TLS в одном фрейме трассировки сети (показано ниже), и я не уверен, является ли это частью проблемы или не связано.
Ответ №1:
Я узнал, что упорядоченный набор наборов шифров, которые включены на устройстве Windows, определен в данных значений из значения функций, расположенного в реестре по адресу:
HKLMSOFTWAREPoliciesMicrosoftCryptographyConfigurationSSL0010002
Это может быть заполнено во время создания объекта групповой политики или локально с помощью редактора групповой политики (т. Е. Выбор «Включено» и редактирование списка и / или порядка наборов шифров).
Если значение функции отсутствует, то упорядоченный набор включенных наборов шифров используется по умолчанию для редакции и сборки Windows: https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel