Servidor estándar de Windows 2008 R2: cómo deshabilitar RC4

9

Acabo de usar www.ssllabs.com y ejecuté algunas pruebas: mi servidor está limitado a una calificación B porque mi servidor acepta RC4

Este servidor acepta el cifrado RC4, que es débil. Grado limitado a B.

Investigué y descubrí que para deshabilitar RC4 necesito agregar 3 claves y establecer su dword habilitado en 0 Link and Link

He hecho esto por RC4 40/128, RC 56/128yRC4 64/128

Luego reinicié mi servidor. Cuando el servidor volvió a funcionar, verifiqué que se realizaron los cambios en el registro, y lo están: los 3 existen y los 3 tienen su valor habilitado establecido en 0.

Regreso a ssllabs, borro el caché, vuelvo a ejecutar la prueba y devuelve el mismo resultado (limitado a B debido a que RC4 está habilitado).

En este momento, no estoy seguro de lo que esto significa: si SSLLabs muestra resultados incorrectos (supongo que no), ¿he desactivado RC 4?

¿Cómo puedo saber si he deshabilitado RC4 con éxito?

Editar

También vi el KB sobre este http://support.microsoft.com/kb/2868725?wa=wsignin1.0, así que intentándolo ahora ... He hecho los mismos cambios en el registro pero, cuando intento descargar el bit 64 versión para W2008 R2 Standard, no se instala con mensaje de error

La actualización no es aplicable a su computadora

windows-server-2008-r2 ssl iis-7 Dave
fuente
RC4 es actualmente seguro. Si no lucha contra las agencias de seguridad con miles de servidores llenos de tarjetas radeon, entonces no tiene nada de qué preocuparse. Los problemas de seguridad de Cypher4 son pura especulación en este momento. Microsoft quiere deshacerse de él porque solo quieren nuevos estándares a cambio. En un sentido práctico, incluso SHA-1 aún no está roto.
Overmind
¿Perdí lo que MS tiene que ver con esto: no informan un error (a menos que ssllabs.com sean propiedad de MS)? Con SHA-1, ¿estás diciendo que todavía funciona pero que existen opciones más seguras?
Dave
MS está utilizando RC4 en los sistemas operativos y quiere alejarse de él. Sí, SHA-1 se creó en el '95, por supuesto, ha evolucionado, pero el punto es que todavía es seguro.
Overmind
Hay varios informes de que RC4 no es seguro: blogs.technet.com/b/srd/archive/2013/11/12/…
Lizz
Hay un RFC de IETF en la pista de estándares que requiere la eliminación de las propuestas RC4 de los apretones de manos de TLS debido a problemas de seguridad: tools.ietf.org/html/rfc7465
the-wabbit

Respuestas:

9

Hay una herramienta para verificar el orden de cifrado en una GUI. A mí me funciona todo el tiempo. (Pruébelo en una máquina de prueba si no confía en el exe.)

Microsoft lanzó un aviso de seguridad sobre RC4 donde explican cómo deshabilitar RC4 en el lado del cliente y el servidor. Ahora es una buena práctica deshabilitar RC4.

No olvide hacer la Actualización de Windows en el aviso de seguridad porque hay una schannelactualización que hacer antes de actualizar el orden de cifrado.

Cuando finalice la actualización, puede usar la herramienta (IISCrypto) , el parche de aviso de Microsoft, o actualizar el registro de Windows usted mismo:

(Tenga cuidado. Haga una copia de seguridad de su registro primero).

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YuKYuK
fuente
3
Ni siquiera necesité ejecutar el escaneo; tan pronto como lo abrí, vi RC 128/128cuál no figuraba en los enlaces que cité. Agregar RC 128/128y establecer dword Enabled en 0 ha solucionado el problema.
Dave
@Dave, ¿podrías agregar una respuesta con la información de tu comentario? ¡Sería muy útil! :)
Lizz
@Lizz @Dave, ¿quiso decir RC4 128/128o hay una por separado RC 128/128?
Michael - ¿Dónde está Clay Shirky?