Servidor Windows 2008 R2 Standard - como desabilitar o RC4

9

Acabei de usar o www.ssllabs.com e fiz alguns testes - meu servidor é limitado a uma nota B porque meu servidor aceita RC4

This server accepts the RC4 cipher, which is weak. Grade capped to B.

Eu pesquisei e descobri que para desabilitar o RC4 eu preciso adicionar 3 chaves e configurar o dword habilitado para 0 Link e Link

Eu fiz isso por RC4 40/128 , RC 56/128 e RC4 64/128

Eu reiniciei meu servidor. Quando o servidor voltou a funcionar, verifiquei se as alterações no registro estavam concluídas e elas estão - todas as três existem e todas as três têm seu valor habilitado configurado como 0.

Volto para ssllabs, limpo o cache, re-executei o teste e ele retorna o mesmo resultado (limitado a B devido ao RC4 estar ativado).

Neste estágio, não tenho certeza do que isso significa - se SSLLabs mostrar resultados incorretos (não presumo), desativei RC 4.

Como posso saber se desabilitei a RC4 com sucesso?

Editar

Eu também vi o KB sobre esse link então estou tentando agora ... feito o mesmo registro muda, mas, quando eu tento baixar a versão de 64 bits para W2008 R2 Standard, ele não consegue instalar com mensagem de erro

The update is not applicable to your computer

    
por Dave 19.02.2015 / 10:48

1 resposta

9

Existe uma ferramenta para verificar a ordem da cifra em uma GUI. Isso funciona para mim o tempo todo. (Experimente em uma máquina de teste se você não confiar no exe).

A Microsoft lançou o aviso de segurança sobre o RC4 , onde explica como desabilitar o RC4 no cliente e no servidor lado. Agora é uma boa prática desabilitar o RC4.

Não se esqueça de fazer o Windows Update no comunicado de segurança, porque há um schannel update para fazer antes atualizar a ordem de cifra.

Quando a atualização estiver concluída, você poderá usar a ferramenta (IISCrypto) , o patch de aviso da Microsoft ou atualizar o registro do Windows você mesmo:

(Tenha cuidado. Faça o backup do seu registro primeiro.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
    
por 19.02.2015 / 12:01