vulnerabilidade IIS RC4 Windows Server 2012 R2

1

Eu preciso desabilitar os conjuntos de códigos inseguros em um servidor com o Windows Server 2012 R2 para passar por uma verificação de vulnerabilidade do PCI. Da pesquisa que fiz, parece que isso é feito no IIS com algumas atualizações do registro, e eu compilei uma lista e as executei.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000

Depois de aplicar o acima, reiniciar e reexecutar a verificação, ele ainda falhará no teste como tendo os RC4 suites habilitados. Por isso, investiguei mais e uma pesquisa no Google revelou um patch para SCHANNEL: KB2868725 , por isso tentei instalar isso, mas era incompatível com o sistema (RC2 já instalou).

Depois disso eu tentei IIS Crypto , que já mostrava cifras R4 desativadas (através das chaves de registro que eu mudei anteriormente), mas Liguei o modo PCI e ele desativou um monte de suítes / cifras. Depois de um reinício, eu estava otimista, mas uma varredura ainda está falhando.

Parece de pesquisa adicional que o 2012 R2 deve ter a funcionalidade para desabilitar o RC4 integrado, e o IIS deve honrá-lo, mas não está fazendo isso, então não sei para onde ir a partir daqui.

    
por caesay 20.10.2016 / 10:27

1 resposta

0

Se alguém mais se deparar com isso coçando a cabeça, não foi um problema com o servidor que hospeda o IIS. Se você tiver algum balanceamento de carga ou proxies reversos na frente do servidor que tenha o RC4 ativado, ele também falhará na varredura.

    
por 20.10.2016 / 11:42