เซิร์ฟเวอร์ Windows 2008 R2 Standard - วิธีปิดใช้งาน RC4

9

ฉันเพิ่งใช้ www.ssllabs.com และทำการทดสอบสองสามครั้ง - เซิร์ฟเวอร์ของฉันถูกต่อยอดเป็นเกรด B เพราะเซิร์ฟเวอร์ของฉันยอมรับ RC4

เซิร์ฟเวอร์นี้ยอมรับรหัส RC4 ซึ่งเป็นจุดอ่อน เกรดต่อยอดเป็น B

ฉันได้วิจัยและพบว่าการปิดใช้งาน RC4 ฉันต้องเพิ่ม 3 ปุ่มและตั้งค่า dword ที่เปิดใช้งานเป็น 0 Link and Link

ฉันได้กระทำนี้สำหรับRC4 40/128, RC 56/128และRC4 64/128

จากนั้นฉันรีสตาร์ทเซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์เพิ่มขึ้นอีกครั้งฉันตรวจสอบว่าการเปลี่ยนแปลงรีจิสทรีเสร็จสิ้นแล้วและพวกเขาคือ - ทั้ง 3 มีอยู่และทั้ง 3 ตั้งค่าการเปิดใช้งานเป็น 0

ฉันกลับไปที่ ssllabs ล้างแคชเรียกใช้การทดสอบอีกครั้งและส่งคืนผลลัพธ์เดียวกัน (ปกคลุมถึง B เนื่องจาก RC4 เปิดใช้งานอยู่)

ในขั้นตอนนี้ฉันไม่แน่ใจว่าสิ่งนี้หมายความว่าอย่างไรถ้า SSLLabs แสดงผลลัพธ์ที่ไม่ถูกต้อง (ฉันจะไม่สมมติ) ฉันได้ปิดใช้งาน RC 4

ฉันจะบอกได้อย่างไรว่าฉันได้ปิดการใช้งาน RC4 สำเร็จแล้ว

แก้ไข

ฉันยังเห็น KB เกี่ยวกับhttp://support.microsoft.com/kb/2868725?wa=wsignin1.0ดังนั้นลองตอนนี้ ... ฉันได้ทำการเปลี่ยนแปลงรีจิสทรีเดียวกัน แต่เมื่อฉันพยายามดาวน์โหลด 64 บิต เวอร์ชันสำหรับ W2008 R2 Standard ไม่สามารถติดตั้งได้พร้อมกับข้อความแสดงข้อผิดพลาด

การอัปเดตไม่สามารถใช้ได้กับคอมพิวเตอร์ของคุณ

windows-server-2008-r2  ssl  iis-7 
เดฟ
แหล่งที่มา
ขณะนี้ RC4 ปลอดภัยแล้ว หากคุณไม่ได้ต่อสู้กับเอเจนซี่ความปลอดภัยด้วยเซิร์ฟเวอร์นับพันที่เต็มไปด้วยการ์ด Radeon คุณก็ไม่มีอะไรต้องกังวล ปัญหาด้านความปลอดภัยของ Cypher4 นั้นเป็นการคาดเดาที่แท้จริง ณ จุดนี้ Microsoft ต้องการทิ้งเพราะพวกเขาต้องการเพียงแค่มาตรฐานใหม่ในการแลกเปลี่ยน ในทางปฏิบัติแล้วแม้แต่ SHA-1 ก็ยังไม่แตก
Overmind
ฉันทำสิ่งที่ MS เกี่ยวข้องกับเรื่องนี้ - พวกเขาไม่ได้รายงานข้อผิดพลาด (เว้นแต่ ssllabs.com เป็นเจ้าของโดย MS)? ด้วย SHA-1 คุณกำลังบอกว่ายังใช้งานได้ แต่มีตัวเลือกที่ปลอดภัยกว่าอยู่หรือไม่
เดฟ
MS กำลังใช้ RC4 ในระบบปฏิบัติการและต้องการย้ายออกจากระบบ ใช่ SHA-1 ถูกสร้างขึ้นในปี '95 แน่นอนว่ามันมีวิวัฒนาการมา แต่ประเด็นก็คือมันยังคงปลอดภัย
Overmind
มีรายงานหลายฉบับที่ RC4 ไม่ปลอดภัย: blogs.technet.com/b/srd/archive/2013/11/12/…
Lizz
มี IETF RFC ในแทร็กมาตรฐานที่ต้องการลบข้อเสนอ RC4 จาก handshakes TLS เนื่องจากปัญหาด้านความปลอดภัย: tools.ietf.org/html/rfc7465
the-wabbit

คำตอบ:

9

มีเครื่องมือในการตรวจสอบการเข้ารหัสใน GUI มันเหมาะกับฉันทุกครั้ง (ลองใช้กับเครื่องทดสอบหากคุณไม่เชื่อถือ exe)

Microsoft ออกคำแนะนำด้านความปลอดภัยเกี่ยวกับ RC4ซึ่งจะอธิบายวิธีปิดใช้งาน RC4 ในฝั่งไคลเอ็นต์และเซิร์ฟเวอร์ ตอนนี้เป็นวิธีปฏิบัติที่ดีที่สุดในการปิดใช้งาน RC4

อย่าลืมทำ Windows Update ในคำแนะนำด้านความปลอดภัยเนื่องจากมีการschannelอัพเดตที่ต้องทำก่อนที่จะอัพเดทคำสั่งเข้ารหัส

เมื่อการปรับปรุงเสร็จสิ้นคุณสามารถใช้เครื่องมือ (IISCrypto) , โปรแกรมแก้ไขคำแนะนำของ Microsoft หรือปรับปรุงรีจิสทรีหน้าต่างด้วยตนเอง:

(ระวังสำรองรีจิสทรีก่อน)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
แหล่งที่มา
3
ฉันไม่จำเป็นต้องเรียกใช้การสแกน - ทันทีที่ฉันเปิดมันฉันเห็นRC 128/128ว่าไม่มีรายการใดในลิงก์ที่ฉันอ้างถึง การเพิ่มRC 128/128และการตั้งค่า dword Enabled เป็น 0 ได้แก้ไขปัญหาแล้ว
เดฟ
@Dave คุณช่วยเพิ่มคำตอบด้วยข้อมูลจากความคิดเห็นของคุณได้ไหม? มันจะมีประโยชน์มาก! :)
Lizz
@Lizz @Dave คุณหมายถึงRC4 128/128หรือแยกกันRC 128/128บ้างมั้ย
ไมเคิล - Clay Shirky อยู่ที่ไหน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.