Windows 2008 R2 Standard server - как отключить RC4

9

Я только что использовал www.ssllabs.com и провел несколько тестов - мой сервер ограничен до уровня B, потому что мой сервер принимает RC4

Этот сервер принимает шифр RC4, который является слабым. Оценка ограничена до B.

Я исследовал и обнаружил, что для отключения RC4 мне нужно добавить 3 ключа и установить для их dword значение 0 Link and Link

Я сделал это для RC4 40/128, RC 56/128иRC4 64/128

Затем я перезапустил свой сервер. Когда сервер снова включился, я проверил, что изменения в реестре были сделаны, и они - все 3 существуют, и для всех 3 их включенное значение установлено равным 0.

Я возвращаюсь в ssllabs, очищаю кеш, перезапускаю тест, и он возвращает тот же результат (ограничен B из-за включенного RC4).

На данном этапе я не уверен, что это значит - если SSLLabs показывает неправильные результаты (я собираюсь предположить, что нет), я отключил RC 4.

Как я могу узнать, успешно ли я отключил RC4?

редактировать

Я также видел КБ об этом http://support.microsoft.com/kb/2868725?wa=wsignin1.0, поэтому пытался сейчас ... Я сделал те же изменения в реестре, но, когда я пытаюсь загрузить 64-битную версия для W2008 R2 Standard, не удается установить с сообщением об ошибке

Обновление не применимо к вашему компьютеру

windows-server-2008-r2 ssl iis-7 Дейв
источник
RC4 в настоящее время безопасен. Если вы не сражаетесь с агентствами безопасности с тысячами серверов, заполненных картами Radeon, вам не о чем беспокоиться. Проблемы безопасности Cypher4 на данный момент являются чистой спекуляцией. Microsoft хочет свалить это, потому что они просто хотят взамен новых стандартов. В практическом смысле даже SHA-1 еще не сломан.
Сверхразум
Я потерял, что MS имеет к этому отношение - они не сообщают об ошибке (если ssllabs.com не принадлежит MS)? Вы говорите, что с SHA-1 все еще работает, но есть более безопасные варианты?
Дейв
MS использует RC4 в операционных системах и хочет отойти от него. Да, SHA-1 был создан в 95 году, конечно, он развивался, но дело в том, что он все еще безопасен.
Сверхразум
Несколько сообщений , что RC4 не является безопасным: blogs.technet.com/b/srd/archive/2013/11/12/...
Lizz
В стандарте есть IETF RFC, требующий удаления предложений RC4 из рукопожатий TLS из-за проблем безопасности: tools.ietf.org/html/rfc7465
the-wabbit

Ответы:

9

Существует инструмент для проверки порядка шифрования в графическом интерфейсе. Это работает для меня каждый раз. (Попробуйте на тестовой машине, если вы не доверяете exe.)

Microsoft выпустила рекомендации по безопасности для RC4, где они объясняют, как отключить RC4 на стороне клиента и сервера. Теперь лучше всего отключить RC4.

Не забудьте установить Центр обновления Windows в сообщении по безопасности, поскольку перед обновлением порядка шифрования schannelнеобходимо выполнить обновление.

После завершения обновления вы можете использовать инструмент (IISCrypto) , консультативное исправление Microsoft или обновить реестр Windows самостоятельно:

(Будьте осторожны. Сначала создайте резервную копию реестра.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
источник
3
Мне даже не нужно было запускать сканирование - как только я открыл его, я увидел, RC 128/128что не было указано в ссылках, которые я цитировал. Добавление RC 128/128и установка dword Enabled в 0 исправило проблему.
Дейв
@ Дэйв, не могли бы вы добавить ответ с информацией из вашего комментария? Это было бы очень полезно! :)
Лиз
@Lizz @Dave, ты имел ввиду RC4 128/128или есть отдельное RC 128/128?
Майкл - Где Клей Ширки