Servidor Windows 2008 R2 Standard - como desativar o RC4

9

Acabei de usar o www.ssllabs.com e executei alguns testes - meu servidor está limitado a um grau B porque meu servidor aceita RC4

Este servidor aceita a cifra RC4, que é fraca. Grau limitado a B.

Eu pesquisei e descobri que para desativar o RC4, preciso adicionar 3 chaves e definir o dword ativado como 0 Link e Link

Eu fiz isso por RC4 40/128, RC 56/128eRC4 64/128

Eu reiniciei meu servidor. Quando o servidor voltou a funcionar, verifiquei se as Alterações no Registro foram feitas e elas existem - todas as 3 existem e todas as 3 têm seu valor ativado definido como 0.

Volto ao ssllabs, limpe o cache, execute novamente o teste e ele retornará o mesmo resultado (limitado a B devido ao RC4 estar ativado).

Nesta fase, não tenho certeza do que isso significa - se o SSLLabs mostrar resultados incorretos (suponho que não), desativei o RC 4.

Como posso saber se desativei o RC4 com êxito

Editar

Também vi a base de conhecimento sobre este http://support.microsoft.com/kb/2868725?wa=wsignin1.0 então tentei agora ... Fiz as mesmas alterações no registro, mas quando tento fazer o download de 64 bits versão para o W2008 R2 Standard, falha na instalação com mensagem de erro

A atualização não é aplicável ao seu computador

windows-server-2008-r2 ssl iis-7 Dave
fonte
RC4 está atualmente seguro. Se você não luta contra agências de segurança com milhares de servidores cheios de placas radeon, não precisa se preocupar com nada. Os problemas de segurança do Cypher4 são pura especulação neste momento. A Microsoft quer despejá-lo porque eles só querem novos padrões em troca. Em um sentido prático, mesmo o SHA-1 ainda não está quebrado.
Overmind
Estou perdido o que a MS tem a ver com isso - eles não estão relatando uma falha (a menos que ssllabs.com seja de propriedade da MS)? Com o SHA-1, você está dizendo que ainda funciona, mas existem opções mais seguras por aí?
19415 Dave
A Microsoft está usando o RC4 nos sistemas operacionais e deseja se afastar dele. Sim, o SHA-1 foi criado em 95, é claro que evoluiu, mas o ponto é que ainda é seguro.
Overmind
Existem vários relatórios de que o RC4 não é seguro: blogs.technet.com/b/srd/archive/2013/11/12/…
Lizz
Há um RFC IETF nas normas pista exigindo a remoção de propostas RC4 de apertos de mão TLS por questões de segurança: tools.ietf.org/html/rfc7465
o wabbit

Respostas:

9

Existe uma ferramenta para verificar a ordem de cifra em uma GUI. Funciona para mim o tempo todo. (Experimente em uma máquina de teste, se você não confia no exe.)

A Microsoft lançou um aviso de segurança sobre o RC4, onde explica como desativar o RC4 no lado do cliente e do servidor. Agora, é recomendável desabilitar o RC4.

Não se esqueça de fazer o Windows Update no aviso de segurança, porque há uma schannelatualização a ser feita antes de atualizar a ordem de cifra.

Quando a atualização estiver concluída, você pode usar a ferramenta (IISCrypto) , o patch consultivo da Microsoft ou atualizar o registro do Windows:

(Cuidado. Faça backup do seu registro primeiro.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
fonte
3
Eu nem precisei executar a verificação - assim que abri, vi o RC 128/128que não estava listado nos links que citei. Adicionar RC 128/128e configurar o dword Ativado como 0 corrigiu o problema.
Dave
@ Dave, você poderia adicionar uma resposta com as informações do seu comentário? Seria muito útil! :)
Lizz
@Lizz @Dave, você quis dizer RC4 128/128ou existe um separado RC 128/128?
Michael - Onde está Clay Shirky