none
不能升级到TLS1.2的服务器如何应对RC4的脆弱性? RRS feed

  • 问题

  • 目前RC4存在安全风险已经不建议被继续使用,根据以下文档,微软建议使用TLS1.2配合AES-GCM,但是我们DC内很多服务器仍在使用Windows server 2008 R2以下(不包含R2)的服务器,由于某些原因,现在不能升级OS版本,而R2以下的又不支持TLS1.2,除了升级以外,请问有没有其它办法可以在TLS1.0的基础上解决RC4的脆弱性呢?TLS1.0和TLS1.2支持的算法一样吗?

    https://blogs.technet.microsoft.com/srd/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4/

    文档中描述说通过修改以下注册表可以disable RC4,但是注册表ciphers下面什么都没有,请问RC4是启用了还是没有?怎么disable呢?OS 是Windows server 2008(not R2).

      • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
        • “Enabled”=dword:00000000
      • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
        • “Enabled”=dword:00000000
      • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
      • “Enabled”=dword:00000000

    2017年5月2日 7:42

答案

  • 您好:

    》》请问有没有其它办法可以在TLS1.0的基础上解决RC4的脆弱性呢?

    据我所知并没有,官方建议就像您所说的禁用ssl3.0和TLS1.0。

    》》文档中描述说通过修改以下注册表可以disable RC4,但是注册表ciphers下面什么都没有,请问RC4是启用了还是没有?怎么disable呢?OS 是Windows server 2008(not R2).

    默认是开启的,如果没有该键值请手动添加,enable=0意思就是disable。


    Best Regards
    Cartman
    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Perry_6678 2017年8月20日 2:38
    2017年5月5日 7:57
  • 在TLS1.0的基础上disable RC4是可以的,手动添加disable RC4的键值就ok。

    • 已标记为答案 Perry_6678 2017年8月20日 2:40
    2017年8月20日 2:40

全部回复

  • 您好:

    》》请问有没有其它办法可以在TLS1.0的基础上解决RC4的脆弱性呢?

    据我所知并没有,官方建议就像您所说的禁用ssl3.0和TLS1.0。

    》》文档中描述说通过修改以下注册表可以disable RC4,但是注册表ciphers下面什么都没有,请问RC4是启用了还是没有?怎么disable呢?OS 是Windows server 2008(not R2).

    默认是开启的,如果没有该键值请手动添加,enable=0意思就是disable。


    Best Regards
    Cartman
    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Perry_6678 2017年8月20日 2:38
    2017年5月5日 7:57
  • 在TLS1.0的基础上disable RC4是可以的,手动添加disable RC4的键值就ok。

    • 已标记为答案 Perry_6678 2017年8月20日 2:40
    2017年8月20日 2:40