How to Disable Weak Cipher (3DES) – SWEET32 in IIS

บทนำ (Overviews)

ขั้นตอนการปิด Weak cipher (3DES) ที่ถูกใช้โดย Web Server IIS

 

ขั้นตอน (Steps)

1. สามารถติดตั้ง Web Server ได้จากบทความ
   • How to enable IIS 7 on Windows Server 2008 or Window Server 2008 R2
   • How to enable SSL on IIS 7
2. สามารถตรวจสอบได้ว่า มี Weak Cipher คือใช้ DES3 ได้จาก
   • Nessus
   • testSSL (3DES ตามชื่อ RFC)
3. พบ Cipher ตัวเป็น 3DES และมีขนาด 168 Bits ดังนี้

     DES-CBC3-SHA                 Kx=RSA         Au=RSA      Enc=3DES-CBC(168)        Mac=SHA1   
   

4. และใช้โปรแกรม SSLscan ใน Kali เพื่อตรวจสอบ Cipher ทั้งหมด

 

---

วิธี Manual

1. คลิก  Start, Run, พิมพ์ regedit, และคลิก OK
2. ให้ไปที่

   HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Ciphers
   

3. จากตัวอย่างถ้าเราไม่พบชื่อ Cipher ใด ๆ แต่มีช่องโหว่ดังกล่าวแสดงว่าเป็น Cipher default ที่ตั้งเอาไว้แต่เริ่มต้นให้สร้าง โฟลเดอร์ 3DES กับ Bits 168 ดังภาพ
4. เข้าไปใน Folder ที่เราสร้างขึ้นมาใหม่. จากนั้นคลิก Edit แล้วเลือก New  และคลิก  DWORD (32-bit) Value.
5. พิมพ์ Enabled แล้ว Enter
6. ตรวจสอบให้แน่ใจว่า ในคอลัมภ์ Data มีค่าเป็น (โดยปกติเป็นค่า Default ถ้าไม่ใช่ให้เลือก Modify แล้วเปลี่ยนเป็น 0)

   0x00000000 (0)
   

   

    

7. Restart. เครื่องและทดสอบ Scan อีกครั้งจะพบว่า Cipher 3DES หายไปดังนี้
   • sslscan
     
   • testssl

อ้างอิง (References)

• https://social.technet.microsoft.com/Forums/ie/en-US/7a143f27-da47-4d3c-9eb2-6736f8896129/disabling-3des-breaks-rdp-to-server-2008-r2?forum=winRDc
• https://forums.iis.net/t/1200920.aspx?How+do+you+disable+DES+CBC3+SHA+with+Windows+2008r2+