Windows 2008 R2 標準伺服器 - 如何禁用 RC4

我剛剛使用了 www.ssllabs.com 並進行了一些測試 - 我的伺服器被限制為 B 級，因為我的伺服器接受 RC4

此伺服器接受弱的 RC4 密碼。等級上限為 B。

我研究發現要禁用 RC4 我需要添加 3 個鍵，並將它們啟用的 dword 設置為 0 Link和Link

我已經為RC4 40/128,RC 56/128和RC4 64/128

然後我重新啟動了我的伺服器。當伺服器再次啟動時，我驗證系統資料庫更改已完成，它們是 - 所有 3 個都存在並且所有 3 個都將其啟用值設置為 0。

我返回 ssllabs，清除記憶體，重新執行測試並返回相同的結果（由於啟用了 RC4，因此限制為 B）。

在這個階段，我不確定這意味著什麼——如果 SSLLabs 顯示不正確的結果（我假設不會），我是否禁用了 RC 4。

如何判斷我是否已成功禁用 RC4

編輯

我還看到了有關此http://support.microsoft.com/kb/2868725?wa=wsignin1.0的知識庫，所以現在嘗試…我已經完成了相同的系統資料庫更改，但是當我嘗試下載 64 位W2008 R2 Standard 的版本，安裝失敗並顯示錯誤消息

此更新不適用於您的電腦

有一個工具可以檢查 GUI 中的密碼順序。它每次都對我有用。（如果您不信任該 exe，請在測試機器上嘗試。）

微軟發布了關於 RC4 的安全公告，其中解釋瞭如何在客戶端和伺服器端禁用 RC4。現在最好禁用 RC4。

不要忘記在安全公告中執行 Windows 更新，因為在更新密碼順序之前schannel需要進行更新。

更新完成後，您可以使用工具 (IISCrypto)、Microsoft 諮詢更新檔，或自行更新 windows 系統資料庫：

（小心。首先備份您的系統資料庫。）

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

引用自：https://serverfault.com/questions/669810