Cómo restringir el uso de ciertos algoritmos criptográficos y protocolos en Schannel.dll

Seleccione idioma Seleccione idioma
Id. de artículo: 245030 - Ver los productos a los que se aplica este artículo
Para las versiones posteriores de Windows
Las claves del registro y su contenido en Windows Server 2008, Windows 7 y Windows Server 2008 R2 aspecto diferentes de las claves del registro en Windows Server 2003 y versiones anteriores. La ubicación del registro en Windows 7, Windows Server 2008 y Windows Server R2 de 20008 y su contenido por defecto son los siguientes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

Este contenido se muestra en el formato estándar de exportación REGEDIT.

Notas
  • La clave de cifrado debe no contienen valores o subclaves.
  • La clave de conjuntos cifrados debe no contienen valores o subclaves.
  • La clave hash debe no contienen valores o subclaves.
  • No hay valores o subclaves, debe contener la clave KeyExchangeAlgorithms.
  • La clave de protocolos debe contener las siguientes subclaves y valor:
    • Protocolos
      • SSL 2.0
        • Cliente
          • DisabledByDefault REG_DWORD 0 x 00000001 (valor)
Windows Server 2008 admite los siguientes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 y Windows 7 admiten los siguientes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Estos protocolos se pueden deshabilitar para el servidor o la arquitectura del cliente. Esto significa que el protocolo puede ser omitido o deshabilitado de la siguiente manera:
  • El protocolo puede omitirse de la lista de protocolos admitidos que se incluyen en el cliente Hello cuando se inicia una conexión SSL.
  • El protocolo puede deshabilitarse en el servidor para que el servidor no responderá con ese protocolo, incluso si un cliente solicita SSL 2.0.
Las subclaves de cliente y servidor designar cada protocolo. Puede deshabilitar un protocolo para el cliente o el servidor. Sin embargo, deshabilitar el cifrado, hash o conjuntos cifrados afecta a los lados de cliente y servidor. Deberá crear las subclaves necesarias bajo la clave de protocolos para lograr esto. Por ejemplo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Una vez creadas las subclaves, el registro se muestra como sigue:

Contraer esta imagenAmpliar esta imagen
2880599


De manera predeterminada, el cliente SSL 2.0 está deshabilitado en Windows Server 2008, Windows Server 2008 R2 y Windows 7. Esto significa que el equipo no utilice SSL 2.0 para iniciar un cliente Hello. Por lo tanto, el registro se muestra como sigue:

Contraer esta imagenAmpliar esta imagen
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
Exactamente igual que los cifrados y KeyExchangeAlgorithms, pueden habilitar o deshabilitar protocolos. Para desactivar otros protocolos, seleccione la parte de la conversación que desea deshabilitar el protocolo y, a continuación, agregar el "Enabled" = dword: 00000000 valor. En el siguiente ejemplo deshabilita SSL 2.0 para el servidor y también SSL 2.0 para el cliente.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Enabled" = dword: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Después de realizar esta acción, debe reiniciar el servidor.
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo restringir el uso de ciertos algoritmos criptográficos y protocolos en el archivo Schannel.dll.Esta información también se aplica a aplicaciones independientes del proveedor (ISV) escrita para la API criptográfica de Microsoft (CAPI).

Nota Para las claves del registro que se aplican a Windows Server 2008 y las versiones posteriores de Windows, consulte la sección "para las versiones posteriores de Windows".

Más información

Se entregaron los certificados de los siguientes proveedores de servicios criptográficos (CSP) que se incluyen con Windows NT 4.0 Service Pack 6 Validación de crypto FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) (versión de exportación no)
Proveedor de seguridad TLS/SSL de Microsoft, el archivo Schannel.dll, utiliza los CSP que se enumeran a continuación para realizar comunicaciones seguras a través de SSL o TLS en su soporte para Internet Explorer y servicios de Internet Information Server (IIS).

Puede cambiar el archivo Schannel.dll para admitir el conjunto de cifrado 1 y 2. Sin embargo, el programa también debe admitir el conjunto de cifrado 1 y 2. Conjunto de cifrado 1 y 2 no se admiten en IIS 4.0 y 5.0.

Este artículo contiene la información necesaria para configurar el TLS/SSL seguridad proveedor para Windows NT 4.0 Service Pack 6 y versiones posteriores. Puede utilizar el registro de Windows para controlar el uso de conjuntos de cifrado SSL 3.0 o TLS 1.0 específicas con respecto a los algoritmos de cifrado admitidos por el proveedor de cifrado de Base o Enhanced Cryptographic Provider.

Nota En Windows NT 4.0 Service Pack 6, el archivo Schannel.dll no utiliza Microsoft Base DSS Cryptographic Provider (Dssbase.dll) o Microsoft DS, Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.dll).

Conjuntos de cifrado

Tanto SSL 3.0 ()http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) y TLS 1.0 (RFC2246) con el borrador de INTERNET "conjuntos de cifrado de 56 bits exportación para TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" ofrecen opciones para usar conjuntos de cifrado diferente. Cada conjunto de cifrado determina el intercambio de claves, autenticación, cifrado y algoritmos MAC que se utilizan en una sesión SSL/TLS. Observe que al utilizar RSA como el intercambio de claves y los algoritmos de autenticación, el término RSA aparece sólo una vez en las definiciones correspondientes de suite de cifrado.

El proveedor de seguridad Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL admite los siguiente definidos por SSL 3.0 "cifrado" cuando se utiliza el proveedor de cifrado de Base o Enhanced Cryptographic Provider:
Contraer esta tablaAmpliar esta tabla
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
SSL_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
SSL_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
SSL_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0x64}
Nota No SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ni SSL_RSA_EXPORT1024_WITH_RC4_56_SHA se define en el texto de SSL 3.0. Sin embargo, varios proveedores SSL 3.0 compatible con ellos. Esto incluye Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider admite también la siguiente definido para TLS 1.0 "cifrado" cuando se utiliza la Microsoft Base Cryptographic Provider o proveedor de servicios criptográficos mejorados:

Contraer esta tablaAmpliar esta tabla
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
TLS_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
TLS_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
TLS_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0x64}
Nota Un conjunto de cifrado que se define utilizando el primer byte "0 x 00" es no privados y se utiliza para las comunicaciones interoperables abiertas. Por lo tanto, el proveedor de seguridad Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL sigue los procedimientos para el uso de estos conjuntos de cifrado como se especifica en SSL 3.0 y TLS 1.0 para garantizar la interoperabilidad.

Claves del registro específicas de Schannel

Importante: Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, copia de seguridad del registro antes de modificarlo. Luego puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro en Windows
Nota Los cambios en el contenido de la clave de cifrado o la clave hash surtan efecto inmediatamente, sin reiniciar el sistema.

Clave SCHANNEL

Inicie el Editor del registro (Regedt32.exe) y busque la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Subclave SCHANNEL\Protocols

Para habilitar el sistema para usar los protocolos que no se negocia de manera predeterminada (como TLS 1.1 y 1.2 de TLS), cambie los datos del valor DWORD del valor DisabledByDefault a 0 x 0 en las siguientes claves del registro bajo la clave de protocolos:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Advertencia El valor de DisabledByDefault en las claves del registro bajo la clave de protocolos no tiene prioridad sobre el valor de grbitEnabledProtocols se define en la estructura SCHANNEL_CRED que contiene los datos de una credencial de Schannel.

Subclave SCHANNEL\Ciphers

La clave de cifrado bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos simétricos como DES y RC4. Las siguientes son las claves del registro válida bajo la clave de cifrado.
Subclave SCHANNEL\Ciphers\RC4 128/128
RC4 DE 128/128

Esta subclave se refiere a RC4 de 128 bits.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. O bien, cambie el valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado. Esta clave del registro no se aplica a un servidor exportable que no tiene un certificado SGC.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
Subclave SCHANNEL\Ciphers\Triple DES 168/168
DES triple 168

Esta clave del registro se refiere a Triple DES de 168 bits como se especifica en ANSI X9.52 y borrador FIPS 46-3. Esta clave del registro no se aplica a la versión de exportación.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. O bien, cambiar los datos DWORD 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Subclave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Esta clave del registro se refiere a RC2 de 128 bits. No se aplica a la versión de exportación.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Subclave de 64/128 de SCHANNEL\Ciphers\RC4
RC4 DE 64/128

Esta clave del registro se refiere a 64 bits RC4. No se aplica a la versión de exportación (pero se utiliza en Microsoft Money).

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Subclave SCHANNEL\Ciphers\RC4 56/128
RC4 56/128

Esta clave del registro se refiere a 56 bits RC4.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Subclave SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Esta clave del registro se refiere a RC2 de 56 bits.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Subclave SCHANNEL\Ciphers\RC2 56/56

DES DE 56

Esta clave del registro se refiere a DES de 56 bits como se especifica en el FIPS 46-2. Su implementación en los archivos Rsabase.dll y Rsaenh.dll se valida en el programa de validación de módulo criptográficos de FIPS 140-1.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Subclave de 40/128 de SCHANNEL\Ciphers\RC4

RC4 DE 40 O 128

Esto se refiere a RC4 de 40 bits.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Subclave de 40/128 de SCHANNEL\Ciphers\RC2

RC2 40/128

Esta clave del registro se refiere a RC2 de 40 bits.

Para permitir este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no se establece el valor de Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subclave SCHANNEL\Ciphers\NULL

NULL

Esta clave del registro no significa cifrado. De manera predeterminada, desactivarla.

Para desactivar el cifrado (impedir todos los algoritmos de cifrado), cambie el valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0.

Subclave SCHANNEL/hash

La clave del registro de los valores de hash en la clave SCHANNEL se utiliza para controlar el uso de algoritmos hash como MD5 y SHA-1. Las siguientes son claves del registro válidas bajo la clave hash.

Subclave SCHANNEL\Hashes\MD5

MD5

Para permitir este algoritmo hash, cambiar los datos del valor DWORD del valor habilitado en el valor predeterminado 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subclave SCHANNEL\Hashes\SHA

SHA

Esta clave del registro hace referencia a un algoritmo de Hash seguro (SHA-1), como se especifica en el FIPS 180-1. Su implementación en los archivos Rsabase.dll y Rsaenh.dll se valida en el programa de validación de módulo criptográficos de FIPS 140-1.

Para permitir este algoritmo hash, cambiar los datos del valor DWORD del valor habilitado en el valor predeterminado 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subclave SCHANNEL/KeyExchangeAlgorithms

La clave de registro KeyExchangeAlgorithms bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos de intercambio de claves como RSA. Las siguientes son las claves del registro válida bajo la clave KeyExchangeAlgorithms.

Subclave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Esta clave del registro se refiere a RSA como los algoritmos de autenticación y el intercambio de claves.

Para permitir que RSA, cambiar los datos del valor DWORD del valor habilitado en el valor predeterminado 0xFFFFFFFF. De lo contrario, cambiar los datos DWORD 0 x 0.

Deshabilitar RSA efectivamente impide todo basadas en RSA SSL y TLS conjuntos cifrados compatibles con el proveedor de seguridad TLS/SSL de Windows NT4 Service Pack 6 de Microsoft.

FIPS 140-1 cifrado suites

Es aconsejable usar sólo esos SSL 3.0 o TLS 1.0 conjuntos de cifrado que se corresponden con FIPS 46-3 o FIPS 46-2 y algoritmos FIPS 180-1 proporcionados por Microsoft Base o Enhanced Cryptographic Provider.

En este artículo, nos referimos a ellos como FIPS 140-1 cifrado suites. En concreto, son las siguientes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Para utilizar sólo suites FIPS 140-1 cifrado tal como se define aquí y compatible con Windows NT 4.0 Service Pack 6 TLS/SSL seguridad proveedor Microsoft Base Cryptographic Provider o proveedor criptográfico mejorado, configurar los datos del valor DWORD del valor habilitado en las siguientes claves del registro 0 x 0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • 40/128 De SCHANNEL\Ciphers\RC4
  • 40/128 De SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Y configurar los datos del valor DWORD del valor habilitado en las siguientes claves del registro 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[no es aplicable en la versión de exportación.
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Cálculo de secreto principal mediante el uso de conjuntos FIPS 140-1 cifrado

Los procedimientos para utilizar el cifrado de 140-1 de FIPS conjuntos en SSL 3.0 difieren de los procedimientos para utilizar los conjuntos FIPS 140-1 cifrado de TLS 1.0.

En SSL 3.0, el siguiente es el cálculo de master_secret definición:

En TLS 1.0, el siguiente es el cálculo de master_secret definición:

donde:

Selección de la opción de utilizar sólo suites FIPS 140-1 cifrado de TLS 1.0:

Debido a esta diferencia, los clientes desean prohibir el uso de SSL 3.0, aunque el conjunto permitido de conjuntos de cifrado está limitado a sólo el subconjunto de FIPS 140-1 cifrado suites. En ese caso, cambiar los datos del valor DWORD del valor habilitado para 0 x 0 en las siguientes claves del registro bajo la clave de protocolos:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Advertencia Los datos de estas claves del registro bajo la clave de los protocolos habilitados tiene prioridad sobre el valor de grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos de una credencial de Schannel. Los datos de valor predeterminado habilitado 0xFFFFFFFF.

Archivos de registro de ejemplo

Se proporcionan dos ejemplos del contenido del archivo de registro para la configuración de esta sección del artículo. Son Export.reg y no export.reg.

En un equipo que ejecuta Windows NT 4.0 Service Pack 6 con el Rasbase.dll exportables y se utilizan los archivos Schannel.dll, ejecute Export.reg para asegurarse de que sólo FIPS de TLS 1.0 suites de cifrado por el equipo.

En un equipo que ejecuta Windows NT 4.0 Service Pack 6 que incluye el Rasenh.dll no exportable y los archivos Schannel.dll, ejecutar Non-export.reg para asegurarse de que sólo FIPS de TLS 1.0 cipher suites son utilizados por el equipo.

Para que el archivo Schannel.dll reconocer los cambios en la clave del registro SCHANNEL, debe reiniciar el equipo.

Para volver a la configuración predeterminada del registro, elimine la clave del registro SCHANNEL y todos los elementos debajo de él. Si estas claves del registro no están presentes, el Schannel.dll vuelve a generar las claves cuando se reinicie el equipo.

Propiedades

Id. de artículo: 245030 - Última revisión: martes, 10 de diciembre de 2013 - Versión: 5.0
La información de este artículo se refiere a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palabras clave: 
kbenv kbinfo kbmt KB245030 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 245030

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com