Windows-Server-2008-R2

Windows 2008 R2 標準伺服器 - 如何禁用 RC4

  • October 15, 2015

我剛剛使用了 www.ssllabs.com 並進行了一些測試 - 我的伺服器被限制為 B 級,因為我的伺服器接受 RC4

此伺服器接受弱的 RC4 密碼。等級上限為 B。

我研究發現要禁用 RC4 我需要添加 3 個鍵,並將它們啟用的 dword 設置為 0 LinkLink

我已經為RC4 40/128,RC 56/128RC4 64/128

然後我重新啟動了我的伺服器。當伺服器再次啟動時,我驗證系統資料庫更改已完成,它們是 - 所有 3 個都存在並且所有 3 個都將其啟用值設置為 0。

我返回 ssllabs,清除記憶體,重新執行測試並返回相同的結果(由於啟用了 RC4,因此限制為 B)。

在這個階段,我不確定這意味著什麼——如果 SSLLabs 顯示不正確的結果(我假設不會),我是否禁用了 RC 4。

如何判斷我是否已成功禁用 RC4

編輯

我還看到了有關此http://support.microsoft.com/kb/2868725?wa=wsignin1.0的知識庫,所以現在嘗試…我已經完成了相同的系統資料庫更改,但是當我嘗試下載 64 位W2008 R2 Standard 的版本,安裝失敗並顯示錯誤消息

此更新不適用於您的電腦

一個工具可以檢查 GUI 中的密碼順序。它每次都對我有用。(如果您不信任該 exe,請在測試機器上嘗試。)

微軟發布了關於 RC4 的安全公告,其中解釋瞭如何在客戶端和伺服器端禁用 RC4。現在最好禁用 RC4。

不要忘記在安全公告中執行 Windows 更新,因為在更新密碼順序之前schannel需要進行更新。

更新完成後,您可以使用工具 (IISCrypto)、Microsoft 諮詢更新檔,或自行更新 windows 系統資料庫:

(小心。首先備份您的系統資料庫。)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

引用自:https://serverfault.com/questions/669810