Deshabilitar las mejores prácticas de cifrado RC4

6

Para cumplir con las mejores prácticas de seguridad, tenemos un requisito para deshabilitar los cifrados RC4.

He investigado una forma de lograrlo y, encontré que puedo desactivarlo al editar las claves de registro.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

También encontré que puedo eliminar las suites de cifrado que contienen RC4 editando el GPO, Configuración del equipo > Plantillas administrativas > Red > Ajustes de configuración SSL ,

Mi pregunta es: ¿Cuál es la mejor manera de eliminar la compatibilidad con los cifrados? Al eliminar todas las suites de cifrado que contienen el cifrado en el GPO o la única forma de eliminar el soporte para un cifrado es mediante la modificación de las claves en regedit.

    
pregunta kimo pryvt 09.09.2016 - 23:11
fuente

1 respuesta

8

RC4 es un algoritmo, no una pieza de software. Es la misma diferencia entre una idea y un libro: puede intentar suprimir un libro que contiene una idea específica, pero no puede suprimir la idea en sí.

Del mismo modo, no puede deshabilitar globalmente RC4 con una edición de registro. En el mejor de los casos, le indicará al software que lea esa clave de registro para que no use RC4.

Específicamente, lo que estás haciendo con esta entrada del registro (el GPO es solo una forma de propagar una edición del registro a un dominio) es instruir al software que usa el Windows API de canal seguro para establecer una conexión TLS / SSL desde su uso de forma predeterminada . El software que no use SChannel o el software que no permita que el subsistema SChannel negocie automáticamente una conexión SSL no se verá afectado.

Por ejemplo, la configuración de estas entradas del registro evitará que el servidor web IIS use el cifrado RC4, pero no hará nada al respecto. href="http://tomcat.apache.org/"> servidor Tomcat .

Conclusión : es imposible evitar globalmente el uso de RC4. Debe volver a enfocar su pregunta especificando exactamente qué software desea restringir. Sin embargo, esta pregunta sería más adecuada para serverfault.com o superuser.com

    
respondido por el Stephane 12.09.2016 - 11:01
fuente

Lea otras preguntas en las etiquetas