Есть ли разрешение для nmap ssl-enum-ciphers, не возвращающего все наборы шифров TLS 1.2?

Microsoft перечисляет 36 наборов шифров, доступных для протокола TLS 1.2, включенного в стандартной установке Windows Server 2016 Build 1607:

С учетом включенных = ложных шифров и алгоритмов KeyExchangeAlgorithms (реестр HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL) и проверки того, что порядок набора шифров и порядок эллиптических кривых установлен по умолчанию (gpedit.msc), список включенных наборов шифров сокращается до 32.

Почему Nmap 7.9.1 возвращает только 10 наборов шифров?

nmap --script ssl-enum-ciphers -p3389 TestServerName.domain.tld

results
4 x TLS_DHE_RSA_WITH_AES_*, and
6 x TLS_ECDHE_RSA_WITH_AES_*

Последнее обновление потока ssl-enum-ciphers на nmap.org, не возвращающего все шифры, - 23 июля 2019 г .: https://seclists.org/nmap-dev/2019/q3/4

Кто-нибудь решил эту проблему?

PS Существует разница в версии TLS в одном кадре сетевой трассировки (показано ниже), и я не уверен, является ли это частью проблемы или не связано.

Результаты трассировки NetMon: ClientHello показывает две версии TLS


tls1.2 nmap
person EngineeringSQL    schedule 16.12.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я узнал, что упорядоченный набор наборов шифров, которые включены на устройстве Windows, определяется в данных значения из значения функций, расположенного в реестре по адресу:

HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002

Его можно заполнить во время создания объекта групповой политики или локально с помощью редактора групповой политики (т. Е. Выбрав Включено и изменив список и / или порядок комплектов шифров).

Если значение «Функции» отсутствует, то для выпуска и сборки Windows по умолчанию используется упорядоченный набор включенных наборов шифров: https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel

person EngineeringSQL    schedule 08.01.2021