Máy chủ chuẩn Windows 2008 R2 - cách tắt RC4

9

Tôi vừa mới sử dụng www.ssllabs.com và đã chạy một vài bài kiểm tra - máy chủ của tôi được giới hạn ở cấp B vì máy chủ của tôi chấp nhận RC4

Máy chủ này chấp nhận mật mã RC4, yếu. Lớp giới hạn đến B.

Tôi đã nghiên cứu và thấy rằng để tắt RC4, tôi cần thêm 3 khóa và đặt từ khóa được bật của chúng thành 0 Liên kếtLiên kết

Tôi đã làm điều này cho RC4 40/128, RC 56/128RC4 64/128

Sau đó tôi khởi động lại máy chủ của mình. Khi máy chủ hoạt động trở lại, tôi đã xác minh Thay đổi sổ đăng ký đã được thực hiện và chúng - cả 3 đều tồn tại và cả 3 đều có giá trị kích hoạt được đặt thành 0.

Tôi trở lại ssllabs, xóa bộ đệm, chạy lại kiểm tra và nó trả về kết quả tương tự (giới hạn B do RC4 được bật).

Ở giai đoạn này, tôi không chắc điều này có nghĩa là gì - nếu SSLLabs hiển thị kết quả không chính xác (tôi sẽ giả sử là không), tôi đã vô hiệu hóa RC 4.

Làm thế nào tôi có thể biết nếu tôi đã vô hiệu hóa RC4 thành công

Biên tập

Tôi cũng đã thấy KB về điều này http://support.microsoft.com/kb/2868725?wa=wsignin1.0 vì vậy tôi đã thử ngay bây giờ phiên bản cho W2008 R2 Standard, không cài đặt được với thông báo lỗi

Bản cập nhật không áp dụng cho máy tính của bạn

windows-server-2008-r2  ssl  iis-7 
Dave
nguồn
RC4 hiện đang an toàn. Nếu bạn không chiến đấu với các cơ quan an ninh với hàng ngàn máy chủ chứa đầy thẻ radeon, thì bạn không có gì phải lo lắng. Các vấn đề bảo mật của Cypher4 là một suy đoán thuần túy vào thời điểm này. Microsoft muốn từ bỏ nó vì họ chỉ muốn trao đổi các tiêu chuẩn mới. Theo nghĩa thực tế, ngay cả SHA-1 vẫn chưa bị hỏng.
Overmind
Tôi bị mất những gì MS phải làm với điều này - họ không báo cáo lỗi (trừ khi ssllabs.com thuộc sở hữu của MS)? Với SHA-1, bạn có nói rằng nó vẫn hoạt động nhưng có nhiều tùy chọn an toàn hơn không?
Dave
MS đang sử dụng RC4 trên các hệ điều hành và muốn tránh xa nó. Đúng, SHA-1 đã được tạo ra vào năm 95, tất nhiên nó đã phát triển, nhưng vấn đề là nó vẫn an toàn.
Overmind
Một số báo cáo cho thấy RC4 không an toàn: blog.technet.com/b/srd/archive/2013/11/12/ Lời
Lizz
Có một RET IETF trong bản theo dõi tiêu chuẩn yêu cầu loại bỏ các đề xuất RC4 khỏi các bắt tay TLS do các vấn đề bảo mật: tools.ietf.org/html/rfc7465
the-wợi

Câu trả lời:

9

một công cụ để kiểm tra thứ tự mật mã trong GUI. Nó làm việc cho tôi mọi lúc. (Hãy thử nó trên máy thử nếu bạn không tin tưởng vào exe.)

Microsoft đã phát hành một lời khuyên bảo mật về RC4 nơi họ giải thích cách vô hiệu hóa RC4 ở phía máy khách và máy chủ. Bây giờ là cách tốt nhất để vô hiệu hóa RC4.

Đừng quên thực hiện Windows Update trong tư vấn bảo mật vì có một schannelbản cập nhật cần thực hiện trước khi cập nhật thứ tự mật mã.

Khi cập nhật hoàn tất, bạn có thể sử dụng công cụ (IISCrypto) , bản vá tư vấn của Microsoft hoặc tự cập nhật sổ đăng ký windows:

(Hãy cẩn thận. Sao lưu sổ đăng ký của bạn trước.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
nguồn
3
Tôi thậm chí không cần phải chạy quét - ngay khi tôi mở nó, tôi đã thấy RC 128/128nó không được liệt kê trong các liên kết tôi đã trích dẫn. Thêm RC 128/128và đặt từ khóa Kích hoạt thành 0 đã khắc phục sự cố.
Dave
@Dave, bạn có thể vui lòng thêm một câu trả lời với thông tin từ bình luận của bạn không? Nó sẽ rất hữu ích! :)
Lizz
@Lizz @Dave, ý bạn là RC4 128/128hay có riêng biệt RC 128/128không?
Michael - Clay Shirky ở đâu
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.