В. Как ограничить или исключить использование потокового шифра на платформах Windows? Какие рекомендации дает Microsoft по деактивации RC4?
О. Microsoft рекомендует использовать Transport Layer Security 1.2 (TLS) 1.2 и более безопасный протокол Advanced Encryption Standard — Galois/Counter Mode (AES-GCM) как альтернативу RC4. Более подробную информацию об этих рекомендациях можно найти к блоге TechNet «Security Advisory 2868725: Recommendation to disable RC4» (blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx).
Internet Explorer 11 (IE 11) в составе Windows 8.1 активирует TLS 1.2 по умолчанию и больше не использует RC4 во время процесса установления связи SSL/TLS (blogs.msdn.com/b/ie/archive/2013/11/12/ie11-automatically-makes-over-40-of-the-web-more-secure-while-making-sure- sites-continue-to-work.aspx).
Также Microsoft выпустила исправление, которое обеспечивает поддержку изменений IE 11 и Windows 8.1 RC4 на Windows 8, Windows 7, Windows RT, Windows Server 2012 и Windows Server 2008 R2. Более подробную информацию об этом исправлении можно найти в статье Microsoft Support «Microsoft security advisory: Update for disabling RC4» (support.microsoft.com/kb/2868725).
Код RC4 может быть полностью деактивирован на платформах Windows путем замены значения Enabled (REG_DWORD) значением 00000000 в следующих параметрах системного реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128
Клиенты Windows, у которых заданы эти параметры системного реестра, не смогут подсоединиться к сайтам, которые требуют RC4. Серверы Windows, у которых есть эти параметры системного реестра, не смогут обслуживать клиентские компьютеры, которые обязаны использовать RC4.