Windows 系统禁用 RC4 密码套件

RC4 密码套件存在漏洞,SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808),通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。RC4 现在已经是被强制丢弃的算法。关于更多基于 SSL/TLS 协议的漏洞,请查看这篇文章《常见的几种 SSL/TLS 漏洞及攻击方式》。

下面我们通过禁用系统中的 RC4 密码套件,提高系统安全性。本文以 Windows Server 2016 为例,使用 PowerShell 执行命令,获取系统已开通的密码套件列表,并禁用 RC4 密码套件。

  1. 获取密码套件列表,执行命令如下。

    1. PS C:\> Get-TlsCipherSuite -Name "RC4"

    获取 RC4 密码套件为:

    1. TLS_RSA_WITH_RC4_128_SHA
    2. TLS_RSA_WITH_RC4_128_MD5

    如果执行命令后,没有输出内容。可以执行,查看全部密码套件命令:

    1. PS C:\> Get-TlsCipherSuite
  2. 禁用密码套件,执行命令如下。

    禁用名为TLS_RSA_WITH_RC4_128_SHA的密码套件。

    1. PS C:\> Disable-TlsCipherSuite -Name "TLS_RSA_WITH_RC4_128_SHA"

    禁用名为TLS_RSA_WITH_RC4_128_MD5的密码套件。

    1. PS C:\> Disable-TlsCipherSuite -Name "TLS_RSA_WITH_RC4_128_MD5"

到此设置完毕,关于密码套件更多内容,可查看这篇文章《Windows 系统 TLS 密码套件操作

(完)