禁用 RC4 密码最佳实践

信息安全 rc4 密码
2021-08-20 20:40:37

为了符合安全最佳实践,我们需要禁用 RC4 密码。

我研究了一种方法来实现这一点,发现我可以通过编辑注册表项来禁用它。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

我还发现我可以通过编辑 GPO、计算机配置 > 管理模板 > 网络 > SSL 配置设置来删除包含 RC4 的密码套件,

我的问题是:删除对密码的支持的最佳方法是什么。通过删除 GPO 中包含密码的所有密码套件,或者删除对密码的支持的唯一方法是修改 regedit 中的密钥。

1个回答

RC4 是一个算法,而不是某个软件。想法和书的区别是一样的:你可以尝试压制带有特定想法的书,但不能压制想法本身。

同样,您不能通过注册表编辑全局禁用 RC4。充其量,您将指示读取该注册表项的软件不要使用 RC4。

具体来说,您使用此注册表项(GPO 只是将注册表编辑传播到域的一种方式)正在执行的操作是指示使用 Windows安全通道API 建立 TLS/SSL 连接的软件默认使用它。不使用 SChannel 的软件或不让 SChannel 子系统自动协商 SSL 连接的软件不会受到影响。

例如,设置这些注册表项将阻止IIS Web 服务器使用 RC4 密码,但不会对Tomcat服务器做任何事情。

结论:不可能在全球范围内阻止使用 RC4。您应该通过准确指定要限制的软件来重新关注您的问题。然而,这样的问题更适合serverfault.comsuperuser.com

其它你可能感兴趣的问题
上一篇net.ipv4.conf.eth0.route_localnet=1 / route_localnet 的安全含义是什么? 下一篇信用卡/借记卡不能轻松地变得更安全吗?