Блог

Microsoft перечисляет 36 наборов шифров, доступных для протокола TLS 1.2, включенного в ванильную установку Windows Server 2016 Build 1607:

• исключает 2 набора шифров, доступных только для использования, когда приложение явно запрашивает
• источник: https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1607

С учетом шифров enabled= false и алгоритмов KeyExchangeAlgorithms (реестр HKLM SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL) и проверки того, что порядок наборов шифров и порядок эллиптических кривых задан по умолчанию (gpedit.msc), список включенных наборов шифров сокращается до 32.

Почему nmap 7.9.1 возвращает только 10 наборов шифров?

 nmap --script ssl-enum-ciphers -p3389 TestServerName.domain.tld

results
4 x TLS_DHE_RSA_WITH_AES_*, and
6 x TLS_ECDHE_RSA_WITH_AES_*
 

Самое последнее обновление на nmap.org поток «ssl-enum-ciphers не возвращает все шифры» от 23 июля 2019 года: https://seclists.org/nmap-dev/2019/q3/4

Кто-нибудь решил эту проблему?

PS Существует разница в версии TLS в одном фрейме трассировки сети (показано ниже), и я не уверен, является ли это частью проблемы или не связано.

Я узнал, что упорядоченный набор наборов шифров, которые включены на устройстве Windows, определен в данных значений из значения функций, расположенного в реестре по адресу:

 HKLMSOFTWAREPoliciesMicrosoftCryptographyConfigurationSSL0010002
 

Это может быть заполнено во время создания объекта групповой политики или локально с помощью редактора групповой политики (т. Е. Выбор «Включено» и редактирование списка и / или порядка наборов шифров).

Если значение функции отсутствует, то упорядоченный набор включенных наборов шифров используется по умолчанию для редакции и сборки Windows: https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel