Site icon RDR-IT

Windows Serveur : désactiver une suite cryptographique (cipher)

Dans ce tutoriel, je vais vous expliquer comment désactiver une suite cryptographique également appeler cipher.

Si vous arrivez sur ce tutoriel par un moteur de recherche, il y a de grande chance que cela est dû à un test de vulnérabilité et que vous avez une alerte qui remonte car des suites cryptographiques (cipher) vulnérables sont actives.

Voici un exemple d’alerte que vous pouvez avoir :

Pour illustrer ce tutoriel, je vais vous expliquer comment désactiver la suite cryptographique TLS_RSA_WITH_3DES_EDE_CBC_SHA sur Windows Serveur.

Sur le serveur Windows, ouvrir une invite de PowerShell en tant qu’administrateur. Avant de passer à la désactivation, on va voir comment afficher les suites cryptographiques avec la cmdlet Get-TlsCipherSuite.

Entrer la commande ci-dessous pour afficher la liste :

Get-TlsCipherSuite | Format-Table Name

Sur la capture, on peut voir les « ciphers » active et on voit bien la suite TLS_RSA_WITH_3DES_EDE_CBC_SHA que l’on souhaite désactiver.

Pour désactiver une suite cryptographique, on va utiliser la cmdlet Disable-TlsCipherSuite en indiquant en paramètre le nom de la suite.

Ici notre cas, on va entrer la commande ci-dessous :

Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA"

Comment on peut le voir sur la capture, la cmdlet n’a pas de retour.

Pour vérifier que la commande est bien passée, vous pouvez afficher la liste des ciphers et vérifier que celle-ci n’est plus dans la liste.

Get-TlsCipherSuite | Format-Table Name

Si vous utilisez un outil comme OpenVas, vous pouvez relancer un scan et vérifier la vulnérabilité n’est plus présente.

Sur la capture ci-dessous, après un nouveau scan, on peut voir qu’une flèche nous indique une baisse de score.

Dans la liste, on peut voir que la vulnérabilité sur le suite TLS_RSA_WITH_3DES_EDE_CBC_SHA n’est plus présente.


Vous savez maintenant comment désactiver une suite cryptographique (cipher) sur Windows Serveur, on peut facilement le faire sur l’ensemble d’un parc de serveurs Windows avec Ansible et le module PowerShell.

Vous trouverez ici un exemple d’utilisation du module PowerShell dans un playbook Ansible.

Quitter la version mobile