Beschränken Sie die Verwendung bestimmter kryptografische Algorithmen und Protokolle in die Dateien "Schannel.dll"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 245030 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Für die späteren Versionen von Windows
Die Registrierungsschlüssel und ihren Inhalt in einer Windows Server 2008, Windows 7 und Windows Server 2008 R2 anders aus den Registrierungsschlüsseln in Windows Server 2003 und früheren Versionen. Speicherort der Registrierung in Windows 7, Windows Server 2008 und Windows Server 20008 R2 und den Standardinhalt lauten wie folgt:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Dieser Inhalt wird im Standardformat REGEDIT exportieren angezeigt.

Hinweise
  • Die Chiffre-Taste sollte keine Werte oder Unterschlüssel enthalten.
  • Der Schlüssel CipherSuites sollte keine Werte oder Unterschlüssel enthalten.
  • Der Hashes Schlüssel sollte keine Werte oder Unterschlüssel enthalten.
  • Der Schlüssel KeyExchangeAlgorithms sollte keine Werte oder Unterschlüssel enthalten.
  • Der Protokolle Schlüssel sollte die folgenden Unterschlüssel und Wert enthalten:
    • Protokolle
      • SSL 2.0
        • Client
          • DisabledByDefault REG_DWORD 0 x 00000001 (Wert)
Windows Server 2008 unterstützt die folgenden Protokolle:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 und Windows 7 unterstützen die folgenden Protokolle:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Diese Protokolle können für den Server oder Client-Architektur deaktiviert werden. Dies bedeutet das Protokoll fehlt oder wie folgt deaktiviert werden kann:
  • Das Protokoll kann aus der Liste der unterstützten Protokolle ausgelassen werden, die in den Client Hello enthalten sind, wenn eine SSL-Verbindung gestartet wird.
  • Das Protokoll kann auf dem Server deaktiviert werden, so dass der Server nicht antwortet, mithilfe dieses Protokolls, selbst wenn ein Client SSL 2.0 anfordert.
Die Client- und Server-Unterschlüssel bestimmen jedes Protokoll. Sie können ein Protokoll für den Client oder den Server deaktivieren. Deaktivieren von Chiffren, Hashes oder CipherSuites beeinflusst jedoch sowohl Client als auch Server-Seiten. Sie müssten erstellen die erforderlichen Unterschlüssel unter dem Schlüssel Protokolle, um dies zu erreichen. Zum Beispiel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 0\server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Nachdem die Unterschlüssel erstellt wurden, wird die Registrierung wie folgt angezeigt:

Bild minimierenBild vergrößern
2880599


SSL 2.0-Client ist in Windows Server 2008, Windows Server 2008 R2 und Windows 7 deaktiviert. Dies bedeutet, dass der Computer zum Starten eine Client Hello nicht SSL 2.0 verwenden. Aus diesem Grund wird die Registrierung wie folgt angezeigt:

Bild minimierenBild vergrößern
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Genau wie Chiffren und KeyExchangeAlgorithms können Protokolle aktiviert oder deaktiviert werden. Wählen Sie die Seite der Konversation-Protokoll deaktivieren und anschließend hinzugefügt werden soll, um andere Protokolle zu deaktivieren, die "Enabled" = DWORD: 00000000 Wert. Im folgende Beispiel wird SSL 2.0 für den Client für den Server und auch SSL 2.0 deaktiviert.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Enabled" = DWORD: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Nach dem Durchführen dieser Aktion müssen Sie den Server neu starten.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie die Verwendung bestimmter kryptografische Algorithmen und Protokolle in der Datei "Schannel.dll" beschränkt.Diese Informationen gelten auch für independent Software Vendor (ISV)-Anwendungen, die für den Microsoft Cryptographic API (CAPI) geschrieben werden.

Hinweis Registrierungsschlüssel, die für Windows Server 2008 und höhere Versionen von Windows gelten, finden Sie im Abschnitt "für höhere Versionen von Windows".

Weitere Informationen

Die folgenden Kryptografiedienstanbieter (CSP), die mit Windows NT 4.0 Service Pack 6 enthalten sind, die Zertifikate für ausgezeichnet wurden FIPS-140-1-Crypto-Validierung:
  • Microsoft Base Cryptographic Provider ("Rsabase.dll")
  • Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) (nicht für den Export Version)
Microsoft TLS/SSL-Sicherheitsdienst, der Datei "Schannel.dll" verwendet die Kryptografiedienstanbieter, die hier aufgeführt sind, um die sichere Kommunikation über SSL oder TLS die Unterstützung von Internet Explorer und Internet Information Services (IIS) durchführen.

Sie können die Datei "Schannel.dll" Chiffre-Suite 1 und 2 Unterstützung ändern. Die Anwendung muss jedoch auch Chiffre-Suite 1 und 2 unterstützen. Chiffre-Suite 1 und 2 sind in IIS 4.0 und 5.0 nicht unterstützt.

Dieser Artikel enthält die erforderlichen Informationen zum Konfigurieren der TLS/SSL Security Provider für Windows NT 4.0 Service Pack 6 und höher. Die Windows-Registrierung können Sie die Verwendung von bestimmten SSL 3.0 oder TLS 1.0 Verschlüsselungssammlungen in Bezug auf die kryptografischen Algorithmen steuern, die von der Base Cryptographic Provider oder der Enhanced Cryptographic Provider unterstützt werden.

Hinweis In Windows NT 4.0 Service Pack 6 verwenden die Datei "Schannel.dll" nicht Microsoft Base DSS Cryptographic Provider ("Dssbase.dll") oder die Microsoft DS/Diffie-Hellman-Enhanced Cryptographic Provider (Dssenh.dll).

Verschlüsselungsverfahren

Beide SSL 3.0 ()http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) und TLS 1.0 (RFC2246) mit INTERNET-DRAFT "56-Bit-Export Cipher Suites für TLS-Draft-ietf-tls-56-bit-ciphersuites-00.txt" bieten Optionen, die verschiedenen Verschlüsselungsverfahren verwendet. Jede Chiffre-Suite bestimmt den Schlüsselaustausch, Authentifizierung, Verschlüsselung und MAC-Algorithmen, die in eine SSL/TLS-Sitzung verwendet werden. Beachten Sie, dass bei Verwendung von RSA-Schlüsselaustausch und Authentifizierungsalgorithmen der Begriff RSA nur einmal in die entsprechenden Definitionen der Chiffre-Suite erscheint.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt die folgenden SSL 3.0 definierten "Verschlüsselung", wenn Sie Base Cryptographic Provider oder der Enhanced Cryptographic Provider verwenden:
Tabelle minimierenTabelle vergrößern
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
SSL_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
SSL_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
SSL_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, &amp;}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
Hinweis Weder SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA noch SSL_RSA_EXPORT1024_WITH_RC4_56_SHA ist in SSL 3.0 Text definiert. Allerdings unterstützt mehrere Lieferanten für SSL 3.0. Dazu gehören Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt auch die folgenden TLS 1.0 definiert "Verschlüsselung" bei Verwendung der Microsoft Base Cryptographic Provider oder Microsoft Enhanced Cryptographic Provider:

Tabelle minimierenTabelle vergrößern
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
TLS_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
TLS_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
TLS_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, &amp;}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
Hinweis Eine Verschlüsselungssuite aus, die das erste Byte "0 x 00" mit definiert ist nicht Private und dient für interoperable Kommunikation geöffnet. Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL-Sicherheitsanbieter folgt daher die Verfahren für diese Verschlüsselungssammlungen gemäß SSL 3.0 und TLS 1.0 verwenden, um Interoperabilität sicherzustellen.

Schannel-spezifische Registrierungsschlüssel

Wichtig: Dieser Abschnitt, die Methode oder die Aufgabe enthält Schritte, die erklären, wie Sie die Windows-Registry ändern. Es können schwerwiegende Probleme auftreten, wenn Sie die Windows-Registry falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie Änderungen vornehmen. Gegebenenfalls können Sie dann die Registrierung wiederherstellen, wenn ein Problem auftritt. Für Weitere Informationen zum Sichern und Wiederherstellen der Registrierung, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Hinweis Alle Änderungen an den Inhalt der CHIFFREN Taste bzw. HASHES wirksam sofort, ohne dass ein Neustart des Systems.

SCHANNEL-Schlüssel

Starten Sie Registrierungs-Editor (Regedt32.exe), und wechseln Sie zu dem folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols-Unterschlüssel

Um die Protokolle verwenden, die nicht in der Standardeinstellung (z. B. TLS 1.1 und TLS 1.2) ausgehandelt werden, wird das System zu aktivieren, ändern Sie den DWORD-Datenwert des DisabledByDefault -Werts auf 0 x 0 folgende Registry-Schlüssel unter dem Schlüssel Protokolle:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Warnung Der DisabledByDefault-Wert in die Registry-Schlüssel unter dem Schlüssel Protokolle übernimmt keine Vorrang gegenüber dem GrbitEnabledProtocols-Wert, die in der SCHANNEL_CRED-Struktur definiert ist, die Daten für ein Schannel-Anmeldeinformationen enthält.

SCHANNEL\Ciphers-Unterschlüssel

Der Chiffre Registrierungsschlüssel unter dem Schlüssel SCHANNEL wird die Verwendung von symmetrischen Algorithmen wie DES und RC4 verwendet. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel Chiffren.
Unterschlüssel SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Dieser Teilschlüssel bezieht sich auf die 128-Bit RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Oder ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert. Dieser Registrierungsschlüssel gilt nicht für einen Server exportiert, die nicht über ein SGC-Zertifikat verfügt.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 Unterschlüssel
Dreifach-DES-168

Dieser Registrierungsschlüssel verweist auf 168-Bit-Triple-DES gemäß ANSI-X9.52 und Entwurf FIPS 46-3. Dieser Registrierungsschlüssel gilt nicht für die Export-Version.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Oder ändern Sie die DWORD-Daten 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unterschlüssel SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Dieser Registrierungsschlüssel verweist auf 128-Bit-RC2. Es gilt nicht für die Export-Version.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 64/128-Unterschlüssel
RC4 64/128

Dieser Registrierungsschlüssel verweist auf 64-Bit-RC4. Es gilt nicht für die Export-Version (aber in Microsoft Money verwendet wird).

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 56/128 Unterschlüssel
RC4 56/128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 Unterschlüssel
RC2 56/128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC2.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC2 56/56 Unterschlüssel

DES 56

Dieser Registrierungsschlüssel verweist auf 56-Bit DES gemäß FIPS 46-2. Die Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wird unter dem FIPS 140-1 kryptografische Module Validation Program überprüft.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 Unterschlüssel

RC4 40/128

Dies bezieht sich auf 40-Bit RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 Unterschlüssel

RC2 40/128

Dieser Registrierungsschlüssel verweist auf 40-Bit-RC2.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL-Unterschlüssel

NULL

Dieser Registrierungsschlüssel bedeutet keine Verschlüsselung. Standardmäßig ist es deaktiviert.

So deaktivieren Sie die Verschlüsselung (alle Verschlüsselungsalgorithmen Sperren), ändern den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0.

SCHANNEL-Hashes Unterschlüssel

Der Hashes Registrierungsschlüssel unter dem Schlüssel SCHANNEL dient zum Steuern der Verwendung des Hashalgorithmen wie SHA-1 und MD5. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel Hashes.

SCHANNEL\Hashes\MD5-Unterschlüssel

MD5

Um diesen Hashingalgorithmus zu ermöglichen, ändern Sie den DWORD-Wert der Enabled-Eigenschaftenwert auf den Standardwert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA-Unterschlüssel

SHA

Dieser Registrierungsschlüssel verweist auf Secure Hash Algorithm (SHA-1) gemäß FIPS 180-1. Die Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wird unter dem FIPS 140-1 kryptografische Module Validation Program überprüft.

Um diesen Hashingalgorithmus zu ermöglichen, ändern Sie den DWORD-Wert der Enabled-Eigenschaftenwert auf den Standardwert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Datenwert an 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Unterschlüssel SCHANNEL/KeyExchangeAlgorithms

Der KeyExchangeAlgorithms-Registrierungsschlüssel unter dem Schlüssel SCHANNEL wird verwendet, um die Verwendung von Algorithmen wie RSA-Schlüsselaustausch zu steuern. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS-Unterschlüssel
PKCS

Dieser Registrierungsschlüssel verweist auf die RSA als Schlüsselalgorithmen Austausch und die Authentifizierung.

Um RSA zu ermöglichen, ändern Sie den DWORD-Wert der Enabled-Eigenschaftenwert auf den Standardwert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-an 0 x 0.

Deaktivieren von RSA effektiv verbietet alle RSA-basierten SSL und TLS Verschlüsselungssammlungen von TLS/SSL-Sicherheitsanbieter für Windows NT4 SP6 Microsoft unterstützt.

FIPS 140-1-Cipher suites

Möglicherweise möchten nur diesen Verschlüsselungsverfahren SSL 3.0 oder TLS 1.0 verwenden, die FIPS 46-3 oder FIPS 46-2 und FIPS 180-1-Algorithmen des Microsoft Base oder Enhanced Cryptographic Provider entsprechen.

In diesem Artikel verweisen wir damit als FIPS 140-1-Verschlüsselungsverfahren. Insbesondere sind sie wie folgt:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Nur FIPS 140-1 Verschlüsselungsverfahren wie definiert hier verwenden und von Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL-Sicherheitsanbieter mit Base Cryptographic Provider oder der Enhanced Cryptographic Provider unterstützt den DWORD-Datenwert den Wert aktiviert in den folgenden Registrierungsschlüsseln zu konfigurieren 0 x 0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Und in die folgenden Registrierungsschlüssel den DWORD-Datenwert den Wert aktiviert konfigurieren 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[Export Version nicht zutreffend]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Master geheimen Berechnung mit FIPS 140-1-Cipher suites

Die Verfahren für die Verwendung der FIPS 140-1 Cipher Suites in SSL 3.0 aus den Verfahren für die Verwendung von TLS 1.0 die FIPS 140-1-Cipher Suites unterscheiden.

In SSL 3.0 lautet die Definition Master_secret Berechnung:

Im TLS 1.0 lautet die Definition Master_secret Berechnung:

Dabei gilt Folgendes:

Wählen die Option aus, um nur FIPS 140-1-Cipher Suites in TLS 1.0 verwenden:

Aufgrund dieses Unterschieds sollten Kunden die Verwendung von SSL 3.0 nicht zulassen, obwohl die zulässige Gruppe der Verschlüsselungssammlungen, nur die Teilmenge der FIPS 140-1 Verschlüsselungssammlungen beschränkt ist. In diesem Fall ändern Sie den DWORD-Wert den Wert aktiviert 0 x 0 in der folgende Registry-Schlüssel unter dem Schlüssel Protokolle:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 0\server
Warnung Die Wertdaten Enabled in diesen Registrierungsschlüssel unter dem Schlüssel Protokolle haben Vorrang vor den GrbitEnabledProtocols-Wert, der in der SCHANNEL_CRED-Struktur definiert ist, die Daten für ein Schannel-Anmeldeinformationen enthält. Der Standardwert aktiviert ist 0xFFFFFFFF.

Beispiel für Registrierungsdateien

In diesem Abschnitt dieses Artikels werden zwei Beispiele der Registrierung Datei für Konfiguration bereitgestellt. Sie sind Export.reg und nicht export.reg.

Auf einem Computer, der Windows NT 4.0 Service Pack 6 mit exportierbaren Rasbase.dll ausgeführt wird und Dateien "Schannel.dll"-Dateien, führen Sie Export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS-Suites Cipher werden von dem Computer verwendet.

In einem Computer mit Windows NT 4.0 Service Pack 6 enthält, die nicht exportierbaren Rasenh.dll und Schannel.dll Dateien, führen Sie nicht-export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS-Suites Cipher werden von dem Computer verwendet.

Der Datei "Schannel.dll" unter dem Registrierungsschlüssel SCHANNEL Änderungen erkennen müssen Sie den Computer neu starten.

Löschen Sie die Registrierungseinstellungen auf die Standardwerte zurück, der SCHANNEL-Registrierungsschlüssel und alle darunter liegenden. Wenn dieser Registrierungsschlüssel nicht vorhanden sind, werden in die Dateien "Schannel.dll" den Schlüssel beim Neustart des Computers neu erstellt.

Eigenschaften

Artikel-ID: 245030 - Geändert am: Dienstag, 10. Dezember 2013 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Keywords: 
kbenv kbinfo kbmt KB245030 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 245030
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com