RC4暗号のベストプラクティスを無効にする
セキュリティのベストプラクティスに準拠するには、RC4暗号を無効にする必要があります。
これを実現する方法を調査したところ、レジストリキーを編集することで無効にできることがわかりました。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000
また、GPOを編集してRC4を含む暗号スイートを削除できることもわかりました。[コンピューターの構成]> [管理用テンプレート]> [ネットワーク]> SSL構成設定、
私の質問は、暗号のサポートを削除する最良の方法は何ですか。 GPO)に暗号を含むすべての暗号スイートを削除するか、暗号のサポートを削除する唯一の方法は、regeditでキーを変更することです。
RC4はアルゴリズムであり、ソフトウェアの一部ではありません。これは、アイデアと本の違いは同じです。特定のアイデアを含む本を抑制しようとすることはできますが、アイデア自体を抑制することはできません。
同様に、レジストリを編集してRC4をグローバルに無効にすることはできません。せいぜい、そのレジストリキーを読み取るソフトウェアにRC4を使用しないように指示します。
具体的には、このレジストリエントリ(GPOは、レジストリの編集をドメインに伝播するための単なる方法です)を使用して実行しています)は、Windowsを使用するソフトウェアに指示します セキュアチャネル TLS/SSL接続を確立するためのAPIデフォルトでSChannelを使用しないソフトウェア、またはSChannelサブシステムを自動化しないソフトウェア-SSL接続のネゴシエーションは影響を受けません。
たとえば、これらのレジストリエントリを設定すると、 [〜#〜] iis [〜#〜] WebサーバーはRC4暗号を使用できなくなりますが、 Tomcat サーバーについては何も行いません。 。
結論:RC4の使用をグローバルに防ぐことは不可能です。制限するソフトウェアを正確に指定して、問題に再度焦点を当てる必要があります。ただし、このような質問は serverfault.com または superuser.com に適しています。