前言

文章來由，友商服務器最近做了一次安全評估，領導讓協(xié)助處理下漏洞修復。根據這份綠盟安全評估中的服務器漏洞掃描分析結果，做了下面的修復過程和總結，希望對看到小伙伴有幫助。

提問：為什么要做安全漏洞修補？

據市場研究公司Gartner研究報告稱“實施漏洞管理的企業(yè)會避免近90%的攻擊”?？梢钥闯?，及時的漏洞修補可以在一定程度上防止病毒、攻擊者的威脅。

一、服務器主機存在漏洞應該怎么修復？

a. 建議所有Windows系統(tǒng)使用"Windows Update"進行更新。
b. 對于大量終端用戶而言，可以采用WSUS進行自動補丁更新，也可以采用補丁分發(fā)系統(tǒng)及時對終端用戶進行補丁更新。
c. 對于存在弱口令的系統(tǒng)，需在加強使用者安全意識的前提下，督促其修改密碼，或者使用策略來強制限制密碼長度和復雜性。
d. 對于存在弱口令或是空口令的服務，在一些關鍵服務上，應加強口令強度，同時需使用加密傳輸方式，對于一些可關閉的服務來說，建議 關閉該服務以達到安全目的。
e. 對于UNIX系統(tǒng)訂閱廠商的安全公告，與廠商技術人員確認后進行漏洞修補、補丁安裝、停止服務等。
f. 由于其他原因不能及時安裝補丁的系統(tǒng)，考慮在網絡邊界、路由器、防火墻上設置嚴格的訪問控制策略，以保證網絡的動態(tài)安全。
g. 建議網絡管理員、系統(tǒng)管理員、安全管理員關注安全信息、安全動態(tài)及最新的嚴重漏洞，攻與防的循環(huán)，伴隨每個主流操作系統(tǒng)、應用服務的生命周期。
h. 建議采用遠程安全評估系統(tǒng)定期對網絡進行評估，真正做到未雨綢繆。

二、報告中的高危漏洞（部分展示）

1.Microsoft Windows CredSSP 遠程執(zhí)行代碼漏洞(CVE-2018-0886)

漏洞名稱： Microsoft Windows CredSSP 遠程執(zhí)行代碼漏洞(CVE-2018-0886)
詳細描述： Windows是一款由美國微軟公司開發(fā)的窗口化操作系統(tǒng)。

憑據安全支持提供程序協(xié)議 (CredSSP) 中存在遠程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在目標系統(tǒng)上中繼用戶憑據并使用其執(zhí)行代碼。

來源：Microsoft
鏈接：https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-0886

解決辦法

廠商補?。篗icrosoft

Microsoft 已經為此發(fā)布了一個安全公告（CVE-2018-0886）以及相應補丁:
CVE-2018-0886: Microsoft Windows CredSSP 遠程執(zhí)行代碼漏洞.
鏈接： https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-0886

2.SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)

漏洞名稱 SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)【原理掃描】【可驗證】
詳細描述 TLS是安全傳輸層協(xié)議，用于在兩個通信應用程序之間提供保密性和數據完整性。

TLS, SSH, IPSec協(xié)商及其他產品中使用的IDEA、DES及Triple DES密碼或者3DES及Triple 3DES存在大約四十億塊的生日界，這可使遠程攻擊者通過Sweet32攻擊，獲取純文本數據。

來源：Karthik Bhargavan
Gaetan Leurent
鏈接：https://www.openssl.org/news/secadv/20160922.txt

解決辦法

建議：避免使用IDEA、DES和3DES算法

1、OpenSSL Security Advisory [22 Sep 2016]
鏈接：https://www.openssl.org/news/secadv/20160922.txt
請在下列網頁下載最新版本：
https://www.openssl.org/source/
2、對于nginx、apache、lighttpd等服務器禁止使用DES加密算法
主要是修改conf文件
3、Windows系統(tǒng)可以參考如下鏈接：
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
驗證方法 根據SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)原理，通過發(fā)送精心構造的數據包到目標服務，根據目標的響應情況，驗證漏洞是否存在

3.SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)

漏洞名稱： SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理掃描】【可驗證】
詳細描述： 安全套接層（Secure Sockets Layer，SSL），一種安全協(xié)議，是網景公司（Netscape）在推出Web瀏覽器首版的同時提出的，目的是為網絡通信提供安全及數據完整性。SSL在傳輸層對網絡連接進行加密。傳輸層安全（Transport Layer Security），IETF對SSL協(xié)議標準化（RFC 2246）后的產物，與SSL 3.0差異很小。

SSL/TLS內使用的RC4算法存在單字節(jié)偏差安全漏洞，可允許遠程攻擊者通過分析統(tǒng)計使用的大量相同的明文會話，利用此漏洞恢復純文本信息。
解決辦法

建議：避免使用RC4算法

1、禁止apache服務器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務
2、關于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法，例如：
ssl.cipher-list = “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”
重啟lighttpd 服務。

3、Windows系統(tǒng)建議參考官網鏈接修復：
https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

驗證方法： 根據SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)原理，通過發(fā)送精心構造的數據包到目標服務，根據目標的響應情況，驗證漏洞是否存在

注意：
這個server2012 KB2868725補丁打不上，有說用KB2992611或者KB2871997可以同作用修復這個漏洞，下載測試也一樣安裝不上，測試了好多方法，最后用注冊表方式解決，內容如下：

先執(zhí)行這：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES56/56]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC240/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC256/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC440/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC456/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC464/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0\Server]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Server]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Client]“DisabledByDefault”=dword:00000001

再執(zhí)行這個：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
128/128] “Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
40/128] “Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
56/128] “Enabled”=dword:00000000

4.SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)

漏洞名稱： SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)【原理掃描】【可驗證】
詳細描述： SSL/TLS協(xié)議是一個被廣泛使用的加密協(xié)議,Bar Mitzvah攻擊實際上是利用了"不變性漏洞"，這是RC4算法中的一個缺陷，它能夠在某些情況下泄露SSL/TLS加密流量中的密文，從而將賬戶用戶名密碼，信用卡數據和其他敏感信息泄露給黑客。

解決辦法
臨時解決方法：

SSL/TLS

1、禁止apache服務器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務
2、關于nginx加密算法
1.0.5及以后版本，默認SSL密碼算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本，默認SSL密碼算法是HIGH:!ADH:!MD5
0.8.19版本，默認SSL密碼算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本，默認SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或沒注釋的可以直接修改域名下ssl相關配置為
ssl_ciphers “ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;
ssl_prefer_server_ciphers on;
需要nginx重新加載服務

3、關于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法，例如：
ssl.cipher-list = “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”

重啟lighttpd 服務。

4、tomcat參考:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

5、瀏覽器手工屏蔽方案
Windows 用戶：
1）完全關閉 Chrome 瀏覽器和Mozilla Firefox瀏覽器
2）復制一個平時打開 Chrome 瀏覽器(Mozilla Firefox瀏覽器)的快捷方式
3）在新的快捷方式上右鍵點擊，進入屬性
4）在「目標」后面的空格中字段的末尾輸入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Mac OS X 用戶：
1）完全關閉 Chrome 瀏覽器
2）找到本機自帶的終端（Terminal）
3）輸入以下命令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Linux 用戶：
1）完全關閉 Chrome 瀏覽器
2）在終端中輸入以下命令：google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

如果掃描器跟目標機之間存在WAF，請優(yōu)先檢查WAF配置。
驗證方法 根據SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)原理，通過發(fā)送精心構造的數據包到目標服務，根據目標的響應情況，驗證漏洞是否存在

5.SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱

漏洞名稱： SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】
詳細描述： 安全套接層（Secure Sockets Layer，SSL），一種安全協(xié)議，是網景公司（Netscape）在推出Web瀏覽器首版的同時提出的，目的是為網絡通信提供安全及數據完整性。SSL在傳輸層對網絡連接進行加密。傳輸層安全TLS（Transport Layer Security），IETF對SSL協(xié)議標準化（RFC 2246）后的產物，與SSL 3.0差異很小。

當服務器SSL/TLS的瞬時Diffie-Hellman公共密鑰小于等于1024位時，存在可以恢復純文本信息的風險。

DHE man-in-the-middle protection (Logjam)

https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/
https://weakdh.org/sysadmin.html
https://en.wikipedia.org/wiki/DiffieE28093Hellman_key_exchange#Security

解決辦法

一. http服務器相關配置
1.首先生成大于1024bit(例如2048bit)的dhkey
openssl dhparam -out dhparams.pem 2048

2.然后在對應服務器中配置

Apache2.4.8及以后版本
使用如下配置命令配置（http.conf中或者對應的虛擬主機配置文件中添加）
SSLOpenSSLConfCmd DHParameters “{path to dhparams.pem}”

Apache2.4.7版本
Apache2.2.31版本及以后版本
redhat debian等大多發(fā)行版中最新Apache2.2.x
通過把dhparams.pem的內容直接附加到證書文件后

Apache2.4.7之前2.4.x版本
Apache2.2.31之前版本
dhparam默認為1024bit 無法修改

nginx使用如下命令配置（在對應的虛擬主機配置文件nginx.conf中server字段內添加）
ssl_dhparam {path to dhparams.pem}

二.如果服務器配置無法修改，例如Apache2.2.31之前版本，可以禁用DHE系列算法，采用保密性更好的ECDHE系列算法，如果ECDHE不可用可以采用普通的 RSA。

更多解決方案請參考:
https://weakdh.org/sysadmin.html

6.nginx 緩沖區(qū)錯誤漏洞(CVE-2022-41741)

漏洞名稱： nginx 緩沖區(qū)錯誤漏洞(CVE-2022-41741)
詳細描述： 此插件基于版本檢測，有可能誤報，未開啟 MP4 模塊的nginx屬于誤報，請忽略該漏洞。
Nginx是美國Nginx公司的一款輕量級Web服務器/反向代理服務器及電子郵件（IMAP/POP3）代理服務器。
Nginx在 ngx_http_mp4_module 中存在漏洞，這可能允許攻擊者激發(fā) worker 進程的崩潰，或者通過使用特制的 mp4 文件致使 worker 進程出現(xiàn)內存泄露。該問題僅影響啟用了 ngx_http_mp4_module 模塊（默認不啟用）并在配置文件中使用 .mp4 指令的 NGINX。此外，只有當攻擊者能夠觸發(fā)使用 ngx_http_mp4_module 對特制 mp4 文件的進行處理時，攻擊才有可能成功。

https://mailman.nginx.org/pipermail/nginx-announce/2022/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA.html

解決辦法
緩解措施：只允許受信用戶發(fā)布音頻和視頻文件，或者在 NGINX 配置中禁用 MP4 模塊，直到升級至修復版本。

廠商補丁:
目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接：
http://nginx.org/download/patch.2022.mp4.txt

7.nginx 越界寫入漏洞（CVE-2022-41742）

漏洞名稱： nginx 越界寫入漏洞（CVE-2022-41742）
詳細描述： 此插件基于版本檢測，有可能誤報。
Nginx是美國Nginx公司的一款輕量級Web服務器/反向代理服務器及電子郵件（IMAP/POP3）代理服務器。
Nginx Plus 的模塊 ngx_http_hls_module 中存在一個漏洞，該漏洞可能允許本地攻擊者破壞 NGINX 的工作進程內存，從而導致其崩潰或在使用特制的音頻或視頻文件時產生其他潛在的影響。只有當配置文件中使用 hls 指令時，該問題才會影響 Nginx Plus。
此外，只有當攻擊者可以觸發(fā)使用模塊 ngx_http_hls_module 對特制音頻或視頻文件進行 處理時，攻擊才有可能成功。一次成功的利用可能允許一個本地攻擊者破壞 NGINX 的 worker 進程，導致其中止或其他潛在的影響。

https://mailman.nginx.org/pipermail/nginx-announce/2022/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA.html
解決辦法 緩解措施：只允許受信用戶發(fā)布音頻和視頻文件?；蛘咴?NGINX 配置中禁用 HLS 模塊，直到升級至修復版本，可緩解此風險。

廠商補丁:
目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接：
http://nginx.org/download/patch.2022.mp4.txt

8.ICMP timestamp請求響應漏洞

漏洞名稱：ICMP timestamp請求響應漏洞
詳細描述：遠程主機會回復ICMP_TIMESTAMP查詢并返回它們系統(tǒng)的當前時間，這可能允許攻擊者攻擊一些基于時間認證的協(xié)議

解決辦法

在防火墻上過濾外來的ICMP timestamp（類型 13）報文以及外出的ICMP timestamp回復報文

詳細操作
注：13，14是ICMP timestamp 請求響應漏洞的規(guī)則，11是允許Traceroute探測
一、 windows系統(tǒng)
< ctrl > + < r > 打開cmd命令行，輸入命令：netsh firewall set icmpsetting 13 disable
二、 Linux系統(tǒng)
編輯etc/sysconfig/iptables文件，在防火墻規(guī)則里面添加如下記錄：
-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-request -j DROP
-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-reply -j DROP
或在終端命令行輸入以下命令：
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
輸入完成，保存修改后的規(guī)則：service iptables save
重啟iptables服務：service iptables restart
檢查新添加的規(guī)則是否有效，檢查命令：iptables -L -n

9.允許Traceroute探測

漏洞名稱： 允許Traceroute探測
詳細描述： 本插件使用Traceroute探測來獲取掃描器與遠程主機之間的路由信息。攻擊者也可以利用這些信息來了解目標網絡的網絡拓撲。

解決辦法

在防火墻出站規(guī)則中禁用echo-reply（type 0）、time-exceeded（type 11）、destination-unreachable（type 3）類型的ICMP包。

Windows下使用powershell修改防火墻（測試可用，完美解決）

New-NetFirewallRule -DisplayName “Disable Outbound ICMP0” -Direction “Outbound” -Protocol “ICMPv4” -ICMPType 0 -Action “Block”
New-NetFirewallRule -DisplayName “Disable Outbound ICMP11” -Direction “Outbound” -Protocol “ICMPv4” -ICMPType 11 -Action “Block”
New-NetFirewallRule -DisplayName “Disable Outbound ICMP3” -Direction “Outbound” -Protocol “ICMPv4” -ICMPType 3 -Action “Block”

10.隱藏計算機名稱信息

1、在鍵盤上按“WIN+R”組合鍵，打開運行界面，輸入“CMD”命令，打開命令提示符界面；
2、在命令提示符界面中，輸入“netconfigserver/hidden:yes”命令，按回車。即可在局域網中隱藏自己的計算機名想要知道是否隱藏成功，再輸入“netconfigserver”命令，在輸出的結果中，“服務器已隱藏”字樣被設置為“yes”，說明設置成功了；
3、如果需要取消隱藏，著可在命令提示窗中輸入“netconfigserver/hidden：no”命令，按回車即可。

11.Windows終端服務器通信加密級別檢查

漏洞名稱： Windows終端服務器通信加密級別檢查
詳細描述： Microsoft Windows遠程桌面協(xié)議用于連接Windows終端服務。RDP是客戶端和服務端之間的通信協(xié)議。

終端服務器和客戶端通信采用RC4算法加密，在如下選項：

管理工具->終端服務器配置->rdp-tcp->常規(guī)選項卡->加密級別

設置為中或客戶端兼容或低時，允許使用或只能使用40或56位的密鑰加密通信數據，40或56位密鑰對于保護機密數據是遠遠不夠的。如果您的當前終端服務器支持128位加密密鑰，將該選項設置為高將強制使用128密鑰加密通信數據。
解決辦法 按如下步驟進行操作：

管理工具->終端服務器配置->rdp-tcp->常規(guī)選項卡->加密級別

將該選項設置為“高”。

注意，該設置將使得強制使用128位RC4加密通信數據，不支持128位加密的老客戶端可能無法連接服務器。

windows server 2008

windows server 2012

總結

這個報告是合作單位的服務器安全評估出來的，幫忙協(xié)助處理下，希望對看到的小伙伴有所幫助，有問題咱們一起討論實踐哦。文章來源地址http://www.zghlxwxcb.cn/news/detail-736993.html

到了這里，關于一份關于windows server服務器的安全漏洞處理建議（來自綠盟安全評估）的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！