Se alguém mais se deparar com isso coçando a cabeça, não foi um problema com o servidor que hospeda o IIS. Se você tiver algum balanceamento de carga ou proxies reversos na frente do servidor que tenha o RC4 ativado, ele também falhará na varredura.
Eu preciso desabilitar os conjuntos de códigos inseguros em um servidor com o Windows Server 2012 R2 para passar por uma verificação de vulnerabilidade do PCI. Da pesquisa que fiz, parece que isso é feito no IIS com algumas atualizações do registro, e eu compilei uma lista e as executei.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
Depois de aplicar o acima, reiniciar e reexecutar a verificação, ele ainda falhará no teste como tendo os RC4 suites habilitados. Por isso, investiguei mais e uma pesquisa no Google revelou um patch para SCHANNEL: KB2868725 , por isso tentei instalar isso, mas era incompatível com o sistema (RC2 já instalou).
Depois disso eu tentei IIS Crypto , que já mostrava cifras R4 desativadas (através das chaves de registro que eu mudei anteriormente), mas Liguei o modo PCI e ele desativou um monte de suítes / cifras. Depois de um reinício, eu estava otimista, mas uma varredura ainda está falhando.
Parece de pesquisa adicional que o 2012 R2 deve ter a funcionalidade para desabilitar o RC4 integrado, e o IIS deve honrá-lo, mas não está fazendo isso, então não sei para onde ir a partir daqui.
Se alguém mais se deparar com isso coçando a cabeça, não foi um problema com o servidor que hospeda o IIS. Se você tiver algum balanceamento de carga ou proxies reversos na frente do servidor que tenha o RC4 ativado, ele também falhará na varredura.