Q: Wat kunnen we doen om het gebruik van het RC4-stroomcijfer op onze Windows-platforms te beperken of uit te sluiten? Wat zijn de aanbevelingen van Microsoft voor het uitschakelen van RC4?
A: Microsoft raadt klanten aan Transport Layer Security 1.2 (TLS) 1.2 en het veiligere Advanced Encryption Standard – Galois/Counter Mode (AES-GCM)-cijfer te gebruiken als RC4-alternatief. Meer informatie over deze aanbeveling is te vinden in de TechNet-blog “Security Advisory 2868725: Recommendation to disable RC4.”
Internet Explorer 11 (IE 11), dat gebundeld is met Windows 8.1, schakelt standaard TLS 1.2 in en maakt niet langer gebruik van RC4 tijdens de SSL/TLS-handshake. Meer details hierover zijn te vinden in de MSDN blog “IE11 Makes Automatically More More 40% of the Web More Secure While Making Sure Sites Continue to Work.”
Microsoft heeft ook een patch uitgebracht die ondersteuning biedt voor de IE 11 en Windows 8.1 RC4 wijzigingen op Windows 8, Windows 7, Windows RT, Windows Server 2012, en Windows Server 2008 R2. Meer informatie over de patch is te vinden in het Microsoft Support-artikel “Microsoft beveiligingsadvies: Update voor het uitschakelen van RC4.”
Het RC4-cijfer kan op Windows-platforms volledig worden uitgeschakeld door de vermelding “Enabled” (REG_DWORD) in te stellen op waarde 00000000 in de volgende registerlocaties:
Windows-clients die deze registervermeldingen hebben ingesteld, kunnen geen verbinding maken met sites die RC4 vereisen. Windows-servers waarop deze registervermeldingen zijn ingesteld, kunnen geen diensten verlenen aan clients die RC4 moeten gebruiken.