Kurum içi zafiyet taramaları sonrası tespit edilen aslında bayağı önce yayımlanan bildiğimiz Sweet32 zafiyetini gidermeyi ele alalım.
Windows sistemimizi Sweet32 saldırılarına karşı korumanın bir önlemi DES ve Üçlü DES’i devre dışı bırakmaktır.
Bunu yapmak için kayıt defterinin SCHANNEL Bölümüne 2 regedit kaydı eklememiz gerekiyor.
Komut satırı ile alanı çalıştırırsanız kayıtlar eklenmiş olacaktır.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168" /v Enabled /d 0 /t REG_DWORD /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168" /v Enabled /d 0 /t REG_DWORD /f
ya da Regedit üzerinde manuel olarak aşağıdaki adımları gerçekleştirebilirsiniz.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168] "Enabled"=dword:00000000
Sweet32 hakkında detaylı bilgi için, aşağıdaki bağlantıyı kullanbilirsiniz.
Sunucular yanı sıra clientlarda da ilgili zafiyeti gördükten sonra; Koşul içerisinde tüm makinelere merkezi uygulayabilmek için powershell üzerinde adımları revize ettim.
# Triple DES 168 şifreleme algoritmasını devre dışı bırakma # Kayıt defteri anahtarları $registryKey1 = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168" $registryKey2 = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168\168" # Triple DES 168 şifrelemesinin etkin olup olmadığını kontrol et $isEnabled = (Get-ItemProperty -Path $registryKey1 -Name "Enabled" -ErrorAction SilentlyContinue).Enabled # Eğer Triple DES 168 etkinse, devre dışı bırak if ($isEnabled -eq 0) { Write-Host "Triple DES 168 zaten devre dışı bırakılmış." } else { # Anahtarları oluştur veya güncelle New-Item -Path $registryKey1 -Force New-Item -Path $registryKey2 -Force # Triple DES 168 şifrelemeyi devre dışı bırak New-ItemProperty -Path $registryKey1 -Name "Enabled" -Value 0 -PropertyType DWORD -Force New-ItemProperty -Path $registryKey2 -Name "Enabled" -Value 0 -PropertyType DWORD -Force Write-Host "Triple DES 168 şifreleme başarıyla devre dışı bırakıldı." }