Q: Was können wir tun, um die Verwendung der RC4-Stream-Chiffre auf unseren Windows-Plattformen einzuschränken oder auszuschließen? Wie lauten die Empfehlungen von Microsoft für die Deaktivierung von RC4?
A: Microsoft empfiehlt, dass Kunden Transport Layer Security 1.2 (TLS) 1.2 und die sicherere Advanced Encryption Standard – Galois/Counter Mode (AES-GCM) Chiffre als RC4-Alternative verwenden. Weitere Informationen zu dieser Empfehlung finden Sie im TechNet-Blog „Security Advisory 2868725: Recommendation to disable RC4“
Internet Explorer 11 (IE 11), der mit Windows 8.1 ausgeliefert wird, aktiviert standardmäßig TLS 1.2 und verwendet RC4 nicht mehr während des SSL/TLS-Handshakes. Weitere Details dazu finden Sie im MSDN-Blog „IE11 macht über 40 % des Webs automatisch sicherer und sorgt gleichzeitig dafür, dass Websites weiterhin funktionieren.“
Microsoft hat außerdem einen Patch veröffentlicht, der Unterstützung für die RC4-Änderungen von IE 11 und Windows 8.1 unter Windows 8, Windows 7, Windows RT, Windows Server 2012 und Windows Server 2008 R2 bietet. Weitere Informationen zu diesem Patch finden Sie im Microsoft Support-Artikel „Microsoft security advisory: Update zur Deaktivierung von RC4“
Die RC4-Verschlüsselung kann auf Windows-Plattformen vollständig deaktiviert werden, indem der Eintrag „Aktiviert“ (REG_DWORD) an den folgenden Registrierungsorten auf den Wert 00000000 gesetzt wird:
Windows-Clients, bei denen diese Registrierungseinträge gesetzt sind, können keine Verbindung zu Websites herstellen, die RC4 erfordern. Windows-Server, bei denen diese Registrierungseinträge gesetzt sind, können Clients, die RC4 verwenden müssen, nicht bedienen.