Windows 2008 R2 Standart sunucu - RC4 nasıl devre dışı bırakılır

9

Az önce www.ssllabs.com'u kullandım ve birkaç test yaptım - sunucum RC4'ü kabul ettiğinden sunucum B notuyla sınırlı

Bu sunucu zayıf olan RC4 şifresini kabul eder. Not B ile sınırlı.

Araştırdım ve RC4'ü devre dışı bırakmak için 3 anahtar eklemem ve etkin dword'unu 0 Link ve Link olarak ayarlamam gerektiğini buldum

Bunun için yapmış RC4 40/128, RC 56/128veRC4 64/128

Daha sonra sunucumu yeniden başlattım. Sunucu tekrar açıldığında, Kayıt Defteri Değişikliklerinin yapıldığını doğruladım ve hepsi - 3'ü var ve 3'ünün etkin değeri 0'a ayarlanmış.

Ben ssllabs dönmek, önbelleği temizlemek, testi yeniden çalıştırmak ve aynı sonucu döndürür (RC4 etkin olduğundan B ile sınırlı).

Bu aşamada bunun ne anlama geldiğinden emin değilim - SSLLabs yanlış sonuçlar gösteriyorsa (varsaymayacağım) RC 4'ü devre dışı bıraktım mı?

RC4'ü başarıyla devre dışı bırakıp bırakmadığımı nasıl anlayabilirim

Düzenle

Ben de bu http://support.microsoft.com/kb/2868725?wa=wsignin1.0 hakkında KB gördüm bu yüzden şimdi deniyorum ... Aynı kayıt defteri değişiklikleri yaptım ama, 64 bit indirmeye çalıştığımda W2008 R2 Standard sürümü için hata mesajı ile yüklenemiyor

Güncelleme bilgisayarınız için geçerli değil

windows-server-2008-r2  ssl  iis-7 
Dave
kaynak
RC4 şu anda güvende. Radeon kartlarıyla dolu binlerce sunucuyla güvenlik ajanslarıyla savaşmıyorsanız, endişelenecek bir şeyiniz yok. Cypher4'ün güvenlik sorunları bu noktada saf bir spekülasyon. Microsoft bunu atmak istiyor çünkü sadece yeni standartlar istiyorlar. Pratik anlamda, SHA-1 bile henüz kırılmadı.
Overmind
MS'in bununla ne ilgisi olduğunu kaybettim - bir hata bildirmiyorlar (ssllabs.com MS'e ait değilse)? SHA-1 ile hala işe yarıyor diyorsunuz ama orada daha güvenli seçenekler var mı?
Dave
MS, işletim sistemlerinde RC4 kullanıyor ve ondan uzaklaşmak istiyor. Evet, SHA-1 '95'te yaratıldı, elbette evrim geçirdi, ancak mesele hala güvenli.
Overmind
Lizz
Standartlar izlemesinde, güvenlik sorunları nedeniyle RC4 tekliflerinin TLS tokalaşmalarından çıkarılmasını gerektiren bir IETF RFC vardır: tools.ietf.org/html/rfc7465
wabbit

Yanıtlar:

9

Bir GUI'de şifre sırasını kontrol etmek için bir araç vardır . Her zaman benim için çalışıyor. (Exe'ye güvenmiyorsanız bir test makinesinde deneyin.)

Microsoft , istemci ve sunucu tarafında RC4'ün nasıl devre dışı bırakılacağını açıklayan RC4 hakkında bir güvenlik danışma belgesi yayımladı . Şimdi RC4'ü devre dışı bırakmak en iyi uygulamadır.

Güvenlik önerisinde Windows Update'i yapmayı unutmayın, çünkü şifre sırasını güncellemeden önceschannel yapılacak bir güncelleme vardır .

Güncelleme tamamlandığında, aracı (IISCrypto) , Microsoft danışma yamasını kullanabilir veya Windows kayıt defterini kendiniz güncelleyebilirsiniz:

(Dikkatli olun. İlk önce kayıt defterinizi yedekleyin.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
kaynak
3
Taramayı çalıştırmam bile gerekmiyordu - RC 128/128açtığımda, alıntı yaptığım bağlantılarda listelenmemiş olduğunu gördüm . RC 128/128Etkin dword'ü 0 olarak eklemek ve ayarlamak sorunu çözdü.
Dave
@Dave, yorumunuzdaki bilgileri içeren bir Cevap ekler misiniz? Çok yardımcı olur! :)
Lizz
@Lizz @Dave, bunu mu demek istediniz RC4 128/128yoksa ayrı RC 128/128mı?
Michael - Clay Shirky
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.