Мне нужно отключить небезопасные шифровальные пакеты на сервере с Windows Server 2012 R2, чтобы пройти сканирование уязвимостей PCI. Из проведенного мной исследования кажется, что это нужно сделать в IIS с некоторыми обновлениями реестра, я составил список и запустил их.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
После применения описанного выше, перезапуска и повторного запуска сканирования тест по-прежнему не проходит, поскольку включены комплекты RC4. Итак, я немного покопался, и поиск в Google обнаружил патч для SCHANNEL: KB2868725, поэтому я попытался установить это, но он был несовместим с системой (RC2 уже установлен).
После этого я попробовал IIS Crypto, который уже показал, что шифры R4 отключены (через ключи реестра, которые я изменил ранее), но я включил режим PCI, и он отключил еще несколько наборов / шифров. После перезапуска я был настроен оптимистично, но сканирование все еще не удается.
Из дополнительных исследований кажется, что 2012 R2 должен иметь функцию отключения встроенного RC4, и IIS должен соблюдать это, но не делает этого, поэтому я не знаю, что делать дальше.
Если кто-то еще столкнется с этим, почесав голову, это не проблема сервера, на котором размещен IIS. Если перед сервером установлены какие-либо прокси-серверы с балансировкой нагрузки или обратные прокси-серверы с включенным RC4, сканирование также не будет выполнено.