Serveur Windows 2008 R2 Standard - comment désactiver RC4

9

Je viens d'utiliser www.ssllabs.com et j'ai effectué quelques tests - mon serveur est plafonné à un grade B car mon serveur accepte RC4

Ce serveur accepte le chiffrement RC4, qui est faible. Grade plafonné à B.

J'ai recherché et trouvé que pour désactiver RC4, je dois ajouter 3 clés et définir leur mot de passe activé sur 0 Link et Link

Je l'ai fait pour RC4 40/128, RC 56/128etRC4 64/128

J'ai ensuite redémarré mon serveur. Lorsque le serveur était de nouveau opérationnel, j'ai vérifié que les modifications du registre avaient été effectuées et qu'elles le sont - les 3 existent et les 3 ont leur valeur activée définie sur 0.

Je reviens à ssllabs, vide le cache, réexécute le test et il renvoie le même résultat (plafonné à B car RC4 est activé).

À ce stade, je ne sais pas ce que cela signifie - si les SSLLabs affichent des résultats incorrects (je vais supposer que non), ai-je désactivé RC 4.

Comment savoir si j'ai réussi à désactiver RC4

Éditer

J'ai également vu la base de connaissances sur cette http://support.microsoft.com/kb/2868725?wa=wsignin1.0 alors j'essaie maintenant ... J'ai fait les mêmes modifications de registre mais, quand j'essaie de télécharger le 64 bits version pour W2008 R2 Standard, il ne parvient pas à installer avec un message d'erreur

La mise à jour n'est pas applicable à votre ordinateur

windows-server-2008-r2 ssl iis-7 Dave
la source
RC4 est actuellement sûr. Si vous ne combattez pas les agences de sécurité avec des milliers de serveurs remplis de cartes radeon, alors vous n'avez rien à craindre. Les problèmes de sécurité du Cypher4 sont une pure spéculation à ce stade. Microsoft veut le vider car ils veulent juste de nouvelles normes en échange. Dans un sens pratique, même SHA-1 n'est pas encore cassé.
Overmind
Je ne sais pas ce que MS a à voir avec cela - ils ne signalent pas de défaut (sauf si ssllabs.com appartient à MS)? Avec SHA-1, dites-vous que cela fonctionne toujours, mais qu'il existe des options plus sécurisées?
Dave
MS utilise RC4 sur les systèmes d'exploitation et souhaite s'en éloigner. Oui, SHA-1 a été créé en 1995, bien sûr, il a évolué, mais le fait est qu'il est toujours sécurisé.
Overmind
Il existe plusieurs rapports selon lesquels RC4 n'est pas sûr: blogs.technet.com/b/srd/archive/2013/11/12/…
Lizz
Il existe un RFC IETF dans la voie des normes nécessitant la suppression des propositions RC4 des poignées de main TLS en raison de problèmes de sécurité: tools.ietf.org/html/rfc7465
the-wabbit

Réponses:

9

Il existe un outil pour vérifier l'ordre de chiffrement dans une interface graphique. Ça marche pour moi à chaque fois. (Essayez-le sur une machine de test si vous ne faites pas confiance à l'exe.)

Microsoft a publié un avis de sécurité sur RC4 où ils expliquent comment désactiver RC4 côté client et serveur. Il est désormais recommandé de désactiver RC4.

N'oubliez pas de faire la mise à jour Windows dans l'avis de sécurité car il y a une schannelmise à jour à faire avant de mettre à jour l'ordre de chiffrement.

Une fois la mise à jour terminée, vous pouvez utiliser l'outil (IISCrypto) , le correctif de conseil Microsoft ou mettre à jour le registre Windows vous-même:

(Soyez prudent. Sauvegardez d'abord votre registre.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
la source
3
Je n'avais même pas besoin d'exécuter l'analyse - dès que je l'ai ouverte, j'ai vu RC 128/128ce qui n'était pas répertorié dans les liens que j'ai cités. L'ajout RC 128/128et la définition de dword Enabled à 0 a résolu le problème.
Dave
@Dave, pourriez-vous s'il vous plaît ajouter une réponse avec les informations de votre commentaire? Ce serait très utile! :)
Lizz
@Lizz @Dave, vouliez-vous dire RC4 128/128ou existe-t-il un autre RC 128/128?
Michael - Où est Clay Shirky