Назад | Перейти на главную страницу

Сервер Windows 2008 R2 Standard - как отключить RC4

Я только что использовал www.ssllabs.com и провел несколько тестов - мой сервер ограничен оценкой B, потому что мой сервер принимает RC4

Этот сервер принимает шифр RC4, который является слабым. Оценка ограничена до B.

Я исследовал и обнаружил, что для отключения RC4 мне нужно добавить 3 ключа и установить их включенное dword на 0. Ссылка на сайт и Ссылка на сайт

Я сделал это для RC4 40/128, RC 56/128 и RC4 64/128

Затем я перезапустил свой сервер. Когда сервер снова заработал, я проверил, что изменения реестра были внесены, и они есть - все 3 существуют, и все 3 имеют значение включения, равное 0.

Я возвращаюсь к ssllabs, очищаю кеш, повторно запускаю тест, и он возвращает тот же результат (ограничен до B из-за включения RC4).

На данном этапе я не уверен, что это означает - если SSLLabs показывает неверные результаты (я предполагаю, что нет), я отключил RC 4.

Как узнать, успешно ли я отключил RC4

редактировать

Я тоже видел КБ об этом http://support.microsoft.com/kb/2868725?wa=wsignin1.0 так что пытаюсь сейчас ... Я сделал те же изменения в реестре, но когда я пытаюсь загрузить 64-битную версию для W2008 R2 Standard, она не устанавливается с сообщением об ошибке

Обновление не применимо к вашему компьютеру

Там есть инструмент чтобы проверить порядок шифрования в графическом интерфейсе. У меня это срабатывает каждый раз. (Попробуйте на тестовой машине, если вы не доверяете exe.)

Microsoft выпустила совет по безопасности RC4 где объясняется, как отключить RC4 на стороне клиента и сервера. Теперь лучше всего отключить RC4.

Не забудьте выполнить обновление Windows в рекомендациях по безопасности, потому что есть schannel обновить делать перед обновление порядка шифров.

Когда обновление будет выполнено, вы можете использовать инструмент (IISCrypto), рекомендательный патч Microsoft или обновите реестр Windows самостоятельно:

(Будьте осторожны. Сначала сделайте резервную копию реестра.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000