Microsoft列出了在Windows Server 2016 Build 1607的原始安装中启用的TLS 1.2协议可用的36个密码套件:
考虑到enabled = false的密码和密钥交换算法(注册表HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL),并验证默认的密码套件顺序和椭圆曲线顺序(gpedit.msc),已启用的密码套件列表减少为32。
为什么nmap 7.9.1仅返回10个密码套件?
nmap --script ssl-enum-ciphers -p3389 TestServerName.domain.tld
results
4 x TLS_DHE_RSA_WITH_AES_*, and
6 x TLS_ECDHE_RSA_WITH_AES_*
nmap.org线程“ ssl-enum-ciphers不返回所有密码”的最新更新为2019年7月23日:https ://seclists.org/nmap-dev/2019/q3/4
有人解决了这个问题吗?
PS在单个网络跟踪框架(如下所示)中TLS版本有所不同,我不确定这是问题的一部分还是无关紧要的。
我了解到,在Windows设备上启用的密码套件的有序集是在位于注册表中的“函数”值中的值数据中定义的:
HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
可以在创建组策略对象的过程中或在本地使用组策略编辑器(即,选择“已启用”并编辑密码套件的列表和/或顺序)填充该字段。
如果不存在“函数”值,则Windows的“版本”和“内部版本”默认为“已启用”密码套件的有序集:https : //docs.microsoft.com/zh-cn/windows/win32/secauthn/cipher-suites-in-频道