最近、NMAP を使用して PCI コンプライアンス テストのためにシステムをスキャンしました。NMAP は次の弱い暗号を報告しました-
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (DH 1024) - D
TLS_RSA_WITH_3DES_EDE_CBC_SHA (RSA 2048) - C
TLS_RSA_WITH_RC4_128_MD5 (RSA 2048) - C
TLS_RSA_WITH_RC4_128_SHA (RSA 2048) - C
これらはすべてポート 5061 の TLSv1.2 で報告されます。ポート 5061 は私の安全な SIP 接続を実行します。
これを解決するために、レジストリから 3DES (Triple DES 168) を無効にし、RC4 および MD5 暗号もレジストリから完全に無効にしました。
また、DES/3DES/RC4 または MD5 を使用しない SSL 暗号スイートの順序も設定しましたが、スキャンのたびに同じ脆弱性が報告されています。
これを解決してこれらの暗号を完全に無効にするにはどうすればよいですか? また、特定のポートで暗号スイートのネゴシエーションをブロックする方法はありますか?
ありがとう。
PS- これは Windows Server 2012 マシンです。