Serwer Windows 2008 R2 Standard - jak wyłączyć RC4

9

Właśnie użyłem www.ssllabs.com i przeprowadziłem kilka testów - mój serwer jest ograniczony do klasy B, ponieważ mój serwer akceptuje RC4

Ten serwer akceptuje słaby szyfr RC4. Ocena ograniczona do B.

Zbadałem i odkryłem, że aby wyłączyć RC4, muszę dodać 3 klucze i ustawić ich włączony dword na 0 Link i Link

Zrobiłem to dla RC4 40/128, RC 56/128iRC4 64/128

Następnie zrestartowałem serwer. Gdy serwer był ponownie uruchomiony, sprawdziłem, czy zmiany w rejestrze zostały wykonane i są - wszystkie 3 istnieją, a wszystkie 3 mają włączoną wartość ustawioną na 0.

Wracam do ssllabs, czyszczę pamięć podręczną, ponownie uruchamiam test i zwraca ten sam wynik (ograniczenie do B z powodu włączenia RC4).

Na tym etapie nie jestem pewien, co to oznacza - jeśli SSLLabs wyświetlają nieprawidłowe wyniki (zakładam, że nie), czy wyłączyłem RC 4.

Jak mogę sprawdzić, czy udało mi się wyłączyć RC4

Edytować

Widziałem także KB o tym http://support.microsoft.com/kb/2868725?wa=wsignin1.0, więc próbuję teraz ... Wprowadziłem te same zmiany w rejestrze, ale kiedy próbuję pobrać 64-bitowy wersja dla W2008 R2 Standard nie można zainstalować z komunikatem o błędzie

Aktualizacja nie dotyczy twojego komputera

windows-server-2008-r2 ssl iis-7 Dave
źródło
RC4 jest obecnie bezpieczny. Jeśli nie walczysz z agencjami bezpieczeństwa z tysiącami serwerów pełnych kart radeon, nie masz się czym martwić. Problemy bezpieczeństwa Cypher4 są w tym momencie czystą spekulacją. Microsoft chce to zrzucić, ponieważ chcą tylko nowych standardów w zamian. W sensie praktycznym nawet SHA-1 nie jest jeszcze zepsuty.
Overmind,
Zgubiłem się, co MS ma z tym wspólnego - nie zgłaszają usterki (chyba że ssllabs.com jest własnością MS)? Czy w przypadku SHA-1 nadal działa, ale istnieją bardziej bezpieczne opcje?
Dave
MS używa RC4 w systemach operacyjnych i chce się od niego odejść. Tak, SHA-1 został stworzony w 95 roku, oczywiście ewoluował, ale chodzi o to, że nadal jest bezpieczny.
Overmind,
Istnieje kilka raportów, że RC4 nie jest bezpieczny: blogs.technet.com/b/srd/archive/2013/11/12/...
Lizz
Na ścieżce standardów znajduje się IETF RFC wymagający usunięcia propozycji RC4 z uzgadniania TLS z powodu problemów bezpieczeństwa: tools.ietf.org/html/rfc7465
the-wabbit

Odpowiedzi:

9

Istnieje narzędzie do sprawdzania kolejności szyfrów w GUI. Działa dla mnie za każdym razem. (Wypróbuj go na maszynie testowej, jeśli nie ufasz exe.)

Firma Microsoft wydała raport bezpieczeństwa dotyczący RC4, w którym wyjaśniają, jak wyłączyć RC4 po stronie klienta i serwera. Teraz najlepszą praktyką jest wyłączenie RC4.

Nie zapomnij wykonać aktualizacji Windows Update w poradniku bezpieczeństwa, ponieważ przed aktualizacją kolejności szyfrowania schannelnależy wykonać aktualizację.

Po zakończeniu aktualizacji możesz użyć narzędzia (IISCrypto) , poprawki doradczej Microsoft lub samodzielnie zaktualizować rejestr systemu Windows:

(Uważaj. Najpierw wykonaj kopię zapasową rejestru.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
źródło
3
Nie musiałem nawet uruchamiać skanowania - gdy tylko go otworzyłem, zobaczyłem, że RC 128/128nie ma go w podanych przeze mnie linkach. Dodanie RC 128/128i ustawienie dwordu Enabled na 0 rozwiązało problem.
Dave
@Dave, czy możesz dodać odpowiedź z informacjami z komentarza? Byłoby to bardzo pomocne! :)
Lizz
@Lizz @Dave, miałeś na myśli RC4 128/128czy istnieje oddzielny RC 128/128?
Michael - Where's Clay Shirky