Update:2017.06.04

1.SMB Signing Disabled

Linux：修改smb配置文件
#vi /etc/samba/smb.conf
添加以下內(nèi)容：

server signing = mandatory

https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Windows：編輯注冊表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
修改RequireSecuritySignature值為1

2.SMB Password Encryption Not Required

Linux：修改smb配置文件
#vi /etc/samba/smb.conf
添加以下內(nèi)容：

encrypt passwords = yes

其它和密碼明文相關(guān)的參數(shù)有client plaintext auth =no、client NTLMv2 auth = yes、min protocol = LANMAN1等
如min protocol = SMB2，密碼加密將不生效，依然為密碼明文傳輸。
Samba配置參考：https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

3.SSH Weak Algorithms Supported（SSH支持弱加密算法）

SSH的配置文件中加密算法沒有指定，默認(rèn)支持所有加密算法，包括arcfour,arcfour128,arcfour256等弱加密算法。

整改測試參考：SSH&SSL弱加密算法漏洞修復(fù).

修改SSH配置文件，添加加密算法：
vi /etc/ssh/sshd_config
最后面添加以下內(nèi)容（去掉arcfour,arcfour128,arcfour256等弱加密算法）：

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

ssh_config和sshd_config都是ssh服務(wù)器的配置文件，二者區(qū)別在于，前者是針對客戶端的配置文件，后者則是針對服務(wù)端的配置文件。

保存文件后重啟SSH服務(wù)：
service sshd restart or service ssh restart
驗證：
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc
ssh -vv -oMACs=hmac-md5

參考信息：http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/

使用Nmap驗證：
nmap --script "ssh2*" 45.76.186.62

4.SSH Weak MAC Algorithms Enabled

與上述漏洞修復(fù)使用同樣的方式，sshd_config文件添加以下行：

MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160

5.SSL Weak Cipher Suites Supported（SSL支持弱密碼套件）

修改SSL配置文件中的的SSL Cipher參數(shù)

不同Web服務(wù)軟件的配置文件位置及參數(shù)名稱不同，需根據(jù)實際情況查找。
具體安全算法配置可參考此網(wǎng)站：https://cipherli.st/
如Apache修改以下內(nèi)容：

驗證方法：
nmap -p 443 --script "ssl-enum-ciphers" xx.xx.xx.xx

6.Network Time Protocol (NTP) Mode 6 Scanner

修改NTP配置文件
#vi /etc/ntp.conf
添加以下內(nèi)容（建議使用此方式）：

restrict default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited

或在提供NTP查詢的網(wǎng)段加入noquery參數(shù)：

restrict 1.1.2.1 mask 255.255.255.0 nomodify notrap noquery

建議方法中兩條配置為高版本NTP中的默認(rèn)配置，noquery參數(shù)限制了mode 6 query，可根據(jù)NTP服務(wù)端實際配置參考修改。
noquery：Deny ntpq and ntpdc queries. Time service is not affected.
notrap：Decline to provide mode 6 control message trap service to matching hosts.
nomodify：Deny ntpq and ntpdc queries which attempt to modify the state of the server.
參考文檔：http://doc.ntp.org/current-stable/accopt.html
http://support.ntp.org/bin/view/Support/AccessRestrictions