2012 RC4漏洞R2

Question

我需要禁用带有Windows 2012 R2的服务器上的不安全密码套件，以通过PCI漏洞扫描。从我所做的研究来看，这似乎是在IIS中完成的，其中包含了一些注册表更新，我已经编译了一个列表并运行了它们。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000

在应用上述操作、重新启动和重新运行扫描之后，由于启用了RC4套件，它仍然失败了。因此，我做了更多的调查，谷歌搜索显示了一个修补程序：KB2868725，所以我试着安装它，但它与系统不兼容(RC2已经安装了它)。

在那之后，我尝试了IIS密码，它已经显示R4密码器已禁用(通过我之前更改的注册表项)，但是我打开了PCI模式，它禁用了更多的套件/密码。重新启动后，我是乐观的，但扫描仍然失败。

从更多的研究来看，2012年的R2应该有禁用内置的RC4的功能，而IIS应该遵守这一点，但是它没有这样做，所以我不知道从哪里开始。

Answer 1

如果有其他人碰到这种抓挠他们的头，这不是一个问题的服务器承载IIS。如果在已启用RC4的服务器前面有任何负载平衡或反向代理，则扫描也将失败。