Guida su come disabilitare 3DES, vulnerabile all'attacco SWEET32 (CVE-2016-2183), e RC4 (CVE-2013-2566, CVE-2015-2808) su server Windows
Gli algoritmi di cifratura 3DES e RC4 sono obsoleti e vulnerabili a diverse tipologie di attacchi, compromettendo la sicurezza delle connessioni SSL/TLS sui server Windows. Per migliorare la sicurezza del server, è necessario disabilitare questi algoritmi, rimuovendo le relative suite di cifratura dalla configurazione TLS del server.
In questo articolo vi guideremo su come verificare l’uso di questi algoritmi tramite PowerShell e disabilitarli modificando la chiave di registro interessata
Fase preliminare: Verifica dell’utilizzo di 3DES e RC4 e backup
Prima di procedere alla disabilitazione, è utile verificare se 3DES e RC4 siano effettivamente abilitati e utilizzati nel server. Ecco come farlo utilizzando PowerShell:
Verifica dell’utilizzo di 3DES
Apri una sessione PowerShell con privilegi di amministratore ed esegui il seguente comando:
Get-TlsCipherSuite -Name “3DES”
Se il comando restituisce informazioni, significa che 3DES è abilitato.
Verificare dell’utilizzo di RC4:
Esegui il seguente comando per verificare se RC4 è abilitato:
Get-TlsCipherSuite -Name “RC4”
Se vengono elencate le suite di cifratura RC4, tale è attualmente in uso.
È inoltre sempre consigliato eseguire un backup dell’intera macchina in generale e del registro di sistema in particolare prima di apportare modifiche e testare le modifiche in ambienti di staging per evitare problemi di compatibilità con vecchi client o applicazioni legacy.
Backup del Registro di sistema
- Accedi al Registro di sistema premendo “Win + R” e digitando poi “regedit” seguito da “Invio”; conferma le eventuali richieste di controllo dell’account utente (UAC).
- Vai al seguente percorso nel Registro di sistema: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL”
- Seleziona la chiave “00010002” nel Registro.
- Vai su File > Esporta, scegli una posizione sicura e salva il file `.reg` come backup.
Disabilitare 3DES e RC4 tramite modifica del registro di sistema
Per disabilitare 3DES e RC4 sui server Windows, è necessario rimuovere le suite di cifratura associate dalla chiave di registro che gestisce la configurazione SSL/TLS.
Ecco i passaggi per rimuovere le suite di cifratura vulnerabili:
- Accedi al Registro di sistema nel modo indicato precedentemente
- Naviga alla chiave di configurazione SSL al seguente percorso:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002 - Modifica la chiave di registro
All’interno della chiave “00010002”, troverai un valore chiamato “Functions”, che contiene la lista delle suite di cifratura abilitate. Questa lista include diverse suite che devono essere rimosse per disabilitare 3DES e RC4.
Segui questi passaggi per modificare la chiave:
- Fai doppio clic su “Functions” per visualizzare la lista delle suite di cifratura.
- Trova e rimuovi le voci seguenti (se presenti):
– TLS_RSA_WITH_3DES_EDE_CBC_SHA
– TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
– TLS_RSA_WITH_RC4_128_SHA
– TLS_RSA_WITH_RC4_128_MD5 - Una volta rimosse queste voci, fai clic su “OK” per salvare le modifiche.
4. Riavvia il server
Dopo aver modificato il registro di sistema, sarà necessario riavviare il server per applicare le nuove impostazioni.
Verifica della disabilitazione delle suite di cifratura
Dopo il riavvio, puoi verificare che le suite di cifratura siano state effettivamente disabilitate eseguendo di nuovo i comandi PowerShell:
Get-TlsCipherSuite -Name “3DES”
Get-TlsCipherSuite -Name “RC4”
Se le suite non vengono più elencate, significa che sono state correttamente disabilitate.
Considerazioni finali
Disabilitare le suite di cifratura 3DES e RC4 è una misura fondamentale per migliorare la sicurezza dei server Windows, riducendo il rischio di attacchi basati su queste cifrature obsolete. Una volta rimosse, il server utilizzerà algoritmi di crittografia più sicuri come AES per le negoziazioni SSL/TLS.
