Windows 2008 R2 मानक सर्वर - RC4 को अक्षम कैसे करें

मैंने अभी www.ssllabs.com का उपयोग किया है और कुछ परीक्षण चलाए हैं - मेरे सर्वर को B ग्रेड में रखा गया है क्योंकि मेरा सर्वर RC4 स्वीकार करता है

यह सर्वर RC4 सिफर को स्वीकार करता है, जो कमजोर है। ग्रेड बी को छाया हुआ।

मैंने शोध किया है और पाया है कि RC4 को अक्षम करने के लिए मुझे 3 कुंजी जोड़ने की जरूरत है, और उनके सक्षम डॉर्ड को 0 लिंक और लिंक पर सेट करें

मैंने इसके लिए RC4 40/128, RC 56/128और किया हैRC4 64/128

मैंने फिर अपना सर्वर फिर से शुरू किया। जब सर्वर फिर से ऊपर था, मैंने सत्यापित किया कि रजिस्ट्री परिवर्तन किए गए थे, और वे हैं - सभी 3 मौजूद हैं और सभी 3 में उनका सक्षम मान 0 पर सेट है।

मैं ssllabs पर लौटता हूं, कैश को साफ़ करता है, परीक्षण को फिर से चलाता है और यह वही परिणाम देता है (RC4 सक्षम होने के कारण B से छाया हुआ)।

इस स्तर पर, मुझे यकीन नहीं है कि इसका क्या अर्थ है - अगर SSLLabs गलत परिणाम दिखा रहा है (मैं नहीं मान रहा हूं), तो क्या मैंने RC 4 को अक्षम कर दिया है।

मैं कैसे बता सकता हूं कि मैंने आरसी 4 को सफलतापूर्वक अक्षम कर दिया है

संपादित करें

मैं भी इस बारे में KB देखा http://support.microsoft.com/kb/2868725?wa=wsignin1.0 तो अब कोशिश कर रहा हूँ ... मैं एक ही रजिस्ट्री परिवर्तन किया है, लेकिन जब मैं 64 बिट डाउनलोड करने की कोशिश W2008 R2 मानक के लिए संस्करण, यह त्रुटि संदेश के साथ स्थापित करने में विफल रहता है

अद्यतन आपके कंप्यूटर पर लागू नहीं है

windows-server-2008-r2 ssl iis-7

— डेव
स्रोत

आरसी 4 वर्तमान में सुरक्षित है। यदि आप हजारों रैडॉन कार्डों से भरे हजारों सर्वरों के साथ सुरक्षा एजेंसियों से नहीं लड़ते हैं, तो आपको चिंता करने की कोई बात नहीं है। Cypher4 की सुरक्षा समस्याएं इस बिंदु पर एक शुद्ध अटकलें हैं। Microsoft इसे डंप करना चाहता है क्योंकि वे बदले में नए मानक चाहते हैं। व्यावहारिक अर्थ में, अभी तक SHA-1 टूटा नहीं है।

— Overmind

मैं हार गया हूं कि एमएस को इसके साथ क्या करना है - वे एक गलती की रिपोर्ट नहीं कर रहे हैं (जब तक कि ssllabs.com एमएस के स्वामित्व में नहीं है)। SHA-1 के साथ आप कह रहे हैं कि यह अभी भी काम करता है लेकिन वहाँ अधिक सुरक्षित विकल्प हैं?

— डेव

MS ऑपरेटिंग सिस्टम पर RC4 का उपयोग कर रहा है और इससे दूर जाना चाहता है। हां, SHA-1 '95 में बनाया गया था, बेशक यह विकसित हो गया है, लेकिन यह अभी भी सुरक्षित है।

— Overmind

कई रिपोर्ट्स हैं कि RC4 सुरक्षित नहीं है: blogs.technet.com/b/srd/archive/2013/11/12/…

— Lizz

सुरक्षा मुद्दों के कारण TLS हैंडशेक से RC4 प्रस्तावों को हटाने की आवश्यकता वाले मानकों के ट्रैक में एक IETF RFC है: tools.ietf.org/html/rfc7465

— wabbit

नहीं है एक उपकरण एक जीयूआई में सिफर आदेश जाँच करने के लिए। यह हर बार मेरे लिए काम करता है। (यदि आप exe पर भरोसा नहीं करते हैं, तो इसे एक परीक्षण मशीन पर आज़माएं।)

Microsoft ने RC4 के बारे में एक सुरक्षा सलाह जारी की, जहां वे समझाते हैं कि RC4 को क्लाइंट और सर्वर साइड पर कैसे निष्क्रिय किया जाए। अब RC4 को निष्क्रिय करना सबसे अच्छा अभ्यास है।

सुरक्षा सलाहकार में विंडोज अपडेट करना न भूलें क्योंकि सिफर ऑर्डर schannelको अपडेट करने से पहले अपडेट करना है।

जब अद्यतन किया जाता है, तो आप टूल (IISCrypto) , Microsoft सलाहकार पैच का उपयोग कर सकते हैं , या विंडोज़ रजिस्ट्री को स्वयं अपडेट कर सकते हैं:

(सावधान रहें। पहले अपनी रजिस्ट्री का बैकअप लें।)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

— YuKYuK
स्रोत

मुझे स्कैन चलाने की भी आवश्यकता नहीं थी - जैसे ही मैंने इसे खोला, मैंने देखा कि RC 128/128जो लिंक मैंने उद्धृत किया था उसमें सूचीबद्ध नहीं था। RC 128/128Dword को जोड़ने और सेट करने में सक्षम 0 ने समस्या को ठीक कर दिया है।

— डेव

@ क्या आप अपनी टिप्पणी से जानकारी के साथ उत्तर जोड़ सकते हैं? यह बहुत मददगार होगा! :)

— लिज़

@Lizz @Dave, क्या आपका मतलब है RC4 128/128या एक अलग है RC 128/128?

— माइकल - कहाँ है क्ले शिर्क