Windows 2008 R2 标准服务器 - 如何禁用 RC4

Windows 2008 R2 标准服务器 - 如何禁用 RC4

我刚刚使用了 www.ssllabs.com 并进行了一些测试 - 我的服务器被限制为 B 级,因为我的服务器接受 RC4

此服务器接受 RC4 密码,该密码较弱。等级上限为 B。

我研究后发现,要禁用 RC4,我需要添加 3 个键,并将其启用的双字设置为 0关联关联

我已经这样做了RC4 40/128RC 56/128并且RC4 64/128

然后我重启了服务器。当服务器再次启动时,我验证了注册表更改已完成,并且所有 3 个都存在,并且所有 3 个的启用值都设置为 0。

我返回 ssllabs,清除缓存,重新运行测试,它返回相同的结果(由于启用了 RC4,因此上限为 B)。

在这个阶段,我不确定这意味着什么 - 如果 SSLLabs 显示不正确的结果(我假设不是),我是否禁用了 RC 4。

如何判断我是否已成功禁用 RC4

编辑

我也看到了关于这个的知识库http://support.microsoft.com/kb/2868725?wa=wsignin1.0所以现在尝试...我已经做了相同的注册表更改,但是,当我尝试下载 W2008 R2 Standard 的 64 位版本时,它无法安装并显示错误消息

此更新不适用于你的计算机

答案1

一个工具在 GUI 中检查密码顺序。每次我都用这个。(如果您不信任该 exe,请在测试机上尝试。)

微软发布关于 RC4 的安全公告他们解释了如何在客户端和服务器端禁用 RC4。现在最佳做法是禁用 RC4。

不要忘记在安全公告中执行 Windows 更新,因为有一个schannel更新需要执行更新密码顺序。

更新完成后,您可以使用该工具(IISCrypto)、Microsoft 建议补丁,或者自行更新 Windows 注册表:

(请小心。请先备份您的注册表。)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

相关内容