Server standard di Windows 2008 R2 - come disabilitare RC4

Ho appena usato www.ssllabs.com e ho eseguito alcuni test - il mio server è limitato a un grado B perché il mio server accetta RC4

Questo server accetta il codice RC4, che è debole. Grado limitato a B.

Ho cercato e scoperto che per disabilitare RC4 ho bisogno di aggiungere 3 chiavi e impostare la loro dword abilitata su 0 Link e Link

L'ho fatto per RC4 40/128, RC 56/128eRC4 64/128

Ho quindi riavviato il mio server. Quando il server è stato di nuovo attivo, ho verificato che le modifiche al Registro di sistema sono state eseguite e sono: tutti e 3 esistono e tutti e 3 hanno il valore abilitato impostato su 0.

Torno su ssllabs, svuoto la cache, rieseguo il test e restituisce lo stesso risultato (limitato a B a causa dell'abilitazione di RC4).

In questa fase, non sono sicuro di cosa significhi - se SSLLabs mostra risultati errati (non suppongo che abbia), ho disabilitato RC 4.

Come posso sapere se ho disabilitato correttamente RC4

modificare

Ho anche visto il KB su questo http://support.microsoft.com/kb/2868725?wa=wsignin1.0 quindi provando ora ... Ho fatto le stesse modifiche al registro ma, quando provo a scaricare il 64 bit versione per W2008 R2 Standard, l'installazione non riesce con messaggio di errore

L'aggiornamento non è applicabile al tuo computer

windows-server-2008-r2 ssl iis-7

— Dave
fonte

RC4 è attualmente sicuro. Se non combatti contro le agenzie di sicurezza con migliaia di server pieni di carte radeon, non hai nulla di cui preoccuparti. I problemi di sicurezza di Cypher4 sono una pura speculazione a questo punto. Microsoft vuole scaricarlo perché vogliono solo nuovi standard in cambio. In senso pratico, anche SHA-1 non è ancora rotto.

— Overmind

Mi sono perso ciò che MS ha a che fare con questo: non stanno segnalando un errore (a meno che ssllabs.com non sia di proprietà di MS)? Con SHA-1 stai dicendo che funziona ancora ma ci sono opzioni più sicure là fuori?

— Dave,

MS sta usando RC4 sui sistemi operativi e vuole allontanarsi da esso. Sì, SHA-1 è stato creato nel '95, ovviamente si è evoluto, ma il punto è che è ancora sicuro.

— Overmind

Sono diversi i rapporti secondo cui RC4 non è sicuro: blogs.technet.com/b/srd/archive/2013/11/12/…

— Lizz,

Esiste un RFC IETF nella traccia standard che richiede la rimozione di proposte RC4 dalle strette di mano TLS a causa di problemi di sicurezza: tools.ietf.org/html/rfc7465

— the-wabbit

C'è uno strumento per controllare l'ordine di cifratura in una GUI. Funziona per me ogni volta. (Provalo su una macchina di prova se non ti fidi di exe.)

Microsoft ha rilasciato un avviso di sicurezza su RC4 in cui spiega come disabilitare RC4 sul lato client e server. Ora è buona norma disabilitare RC4.

Non dimenticare di eseguire Windows Update nell'avviso di sicurezza perché è schannelnecessario eseguire un aggiornamento prima di aggiornare l'ordine di cifratura.

Al termine dell'aggiornamento, è possibile utilizzare lo strumento (IISCrypto) , la patch di consulenza Microsoft o aggiornare manualmente il registro di Windows:

(Fai attenzione. Prima esegui il backup del registro.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

— YuKYuK
fonte

Non ho nemmeno bisogno di eseguire la scansione - non appena l'ho aperta, ho visto RC 128/128che non era elencato nei link che ho citato. L'aggiunta RC 128/128e l'impostazione di dword Enabled su 0 ha risolto il problema.

— Dave,

@Dave, potresti aggiungere una risposta con le informazioni del tuo commento? Sarebbe molto utile! :)

— Lizz,

@Lizz @Dave, volevi dire RC4 128/128o c'è un altro RC 128/128?

— Michael - Dov'è Clay Shirky il