כיצד ניתן לטפל בחולשת ה- POODLE ב- SSL 3.0 בסביבת Microsoft?

3 בנובמבר 2014

no comments

חולשת ה- POODLE בפרוטוקול SSL v3.0 מאפשרת פיענוח של תוכן התקשרות מוצפנת, ומפורטת במזהה ה- CVE-2014-3566 (מידע נוסף אודות POODLE ניתן למצוא ב- This POODLE Bites: Exploiting The SSL 3.0 Fallback).

אני ממליץ לכם לוודא כי הנכם עובדים לפי ההנחיות המעודכנות של Microsoft בסביבות המחשוב שלכם (ההנחיות עודכנו שבוע שעבר – 29 לאוקטובר, 2014), ההנחיות המלאות מופיעות ב- Microsoft Security Advisory 3009008.

ההנחיות נמצאות תחת מקטע Suggested Actions ומתארות את דרכי הפעולה בשיטת צעד-אחר-צעד.

חשוב לציין כי ההנחיות במאמר זה מיועדות עבור Internet Explorer בסביבה ארגונית המנוהלת באמצעות Active Directory Domain Services, במידה והנכם מאפשרים עבודה בארגונכם עם דפדפנים אחרים – ודאו כי הנכם מיישמים את ההנחיות לביטול השימוש ב- SSL v3.0.

עבור מערכות צד ג' – אנא פנו ליצרני הציוד לקבלת תמיכה בנושא.

מאמר זה מתייחס לאופן הטיפול בחולשה זו בסביבה ארגונית המבוססת Active Directory Domain Services באמצעות Group Policy.

על-מנת לטפל בחולשת ה- POODLE, נתחבר עם חשבון אדמיניסטרטיבי ובעל הרשאות ליצירה והחלה של Group Policies ברמת ה- Domain ל- Domain Controller (או לעמדת ניהול המותקן עליה Group Policy Management Console) ונפתח את Group Policy Management Console. לאחר מכן, נפעל לפי הצעדים הבאים:

1. נצור Group Policy Object (או GPO בקצרה) חדש (ניתן להשתמש באחד קיים) ונבצע לו Edit.

clip_image001

2. ננווט אל Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Advanced Page -> Turn off encryption support.

clip_image003

3. כעת, נפתח את Turn off Encryption Support ונפעיל את ערך זה (Enabled), בהפעלה נבחר באפשרויות ב- Use TLS 1.0, TLS 1.1, and TLS 1.2 ונלחץ על OK לסיום.

clip_image005

4. כעת, נצא מה- GPO שיצרנו, ונבחר במקום הרצוי (בדוגמא הנ"ל ב- Domain-level) ונבצע באמצעות מקש עכבר ימני על המקום הרצוי Link an Existing GPO ונבחר ב- GPO עם ההגדרות שביצענו מעלה.

clip_image007

5. כעת, נוכל ללכת לשרת \ תחנה ולבדוק מיידית באמצעות פקודת Gpupdate /force כי ההגדרות חלו בהצלחה. ניתן לראות כי לא ניתן להוסיף ו\או לשנות ידנית את התמיכה ב- SSL 3.0 ב- Internet Explorer.

clip_image008

Add comment
facebook linkedin twitter email

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*