我刚刚使用了 www.ssllabs.com 并进行了一些测试 - 我的服务器被限制为 B 级,因为我的服务器接受 RC4
此服务器接受 RC4 密码,该密码较弱。等级上限为 B。
我研究后发现,要禁用 RC4,我需要添加 3 个键,并将其启用的双字设置为 0关联和关联
我已经这样做了RC4 40/128,RC 56/128并且RC4 64/128
然后我重启了服务器。当服务器再次启动时,我验证了注册表更改已完成,并且所有 3 个都存在,并且所有 3 个的启用值都设置为 0。
我返回 ssllabs,清除缓存,重新运行测试,它返回相同的结果(由于启用了 RC4,因此上限为 B)。
在这个阶段,我不确定这意味着什么 - 如果 SSLLabs 显示不正确的结果(我假设不是),我是否禁用了 RC 4。
如何判断我是否已成功禁用 RC4
编辑
我也看到了关于这个的知识库http://support.microsoft.com/kb/2868725?wa=wsignin1.0所以现在尝试...我已经做了相同的注册表更改,但是,当我尝试下载 W2008 R2 Standard 的 64 位版本时,它无法安装并显示错误消息
此更新不适用于你的计算机
答案1
有一个工具在 GUI 中检查密码顺序。每次我都用这个。(如果您不信任该 exe,请在测试机上尝试。)
微软发布关于 RC4 的安全公告他们解释了如何在客户端和服务器端禁用 RC4。现在最佳做法是禁用 RC4。
不要忘记在安全公告中执行 Windows 更新,因为有一个schannel更新需要执行前更新密码顺序。
更新完成后,您可以使用该工具(IISCrypto)、Microsoft 建议补丁,或者自行更新 Windows 注册表:
(请小心。请先备份您的注册表。)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000