Windows 2012 Server で利用可能なCipherSuite を設定する

とあるお客様からのシステム脆弱性チェック対応のために実施
調べた時にぴったり来るサイト見つけられなかったので、覚書として投稿

手順としては以下の通り、

ローカルグループポリシーエディタを起動※
＞コンピュータの構成 ＞ 管理用テンプレート ＞
＞ネットワーク＞SSK構成設定＞SSL暗号の順位

※win上でgpedit.msc実行

この中に利用可能なCipherSuiteが優先順位順で記載されています。
ちなみにWindows 2012 Server R2 のデフォルトでは含まれているのはこんな感じでした。

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5

あーもうカオスです。
今回は誕生日アタック対策でDES/3DESを無効化したかったので、この中から key と auth のどちらかに両アルゴリズムを含んでいたものを外しました。

ヒントになったリンク
https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx

上記設定変更後の反映はサーバの再起動が必要でした。
gpupdateのコマンドでは反映されませんでした。

確認結果はこんな感じです。

[hogehoge@server ~]$ openssl s_client -connect 192.168.1.132:3389 -cipher DES-CBC3-SHA
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 99 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
[hogehoge@server ~]$

DES-CBC3-SHAを指定してハンドシェイクしようとすると、
サポート外として失敗するようになります。

ちなみにレジストリで値を追加して、指定した CipherSuite のON/OFFを過去のWindows Ver(2008等)では行えた様なのですが、2012では上手く行かなかったです。

--2018/3/8 追記--
検証中に気づいたので追記。
対象の"SSL暗号の順位"パラメータはどうも1024文字分までしか入力できない模様。
デフォルト設定の文字列が1450文字近くあるため、一部だけ削ってそれをそのまま貼り付けすると、後半部分がカットされてしまいます。もともと優先順位が下位にあったCipherSuiteなので、ほとんどのケースでは影響ないですが、古いシステムなどと連携している場合は必要なSuiteを整理する必要がありそうです。