Comment faire pour restreindre l'utilisation de certains algorithmes et protocoles cryptographiques dans Schannel.dll

Traductions disponibles Traductions disponibles
Numéro d'article: 245030 - Voir les produits auxquels s'applique cet article
Dans les versions ultérieures de Windows
Les clés de Registre et de leur contenu dans Windows Server 2008, Windows 7 et Windows Server 2008 R2 s'affichent différemment les clés de Registre dans Windows Server 2003 et versions antérieures. L'emplacement du Registre dans Windows 7, Windows Server 2008 et Windows Server R2 20008 et son contenu par défaut sont les suivantes :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
« EventLogging » = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
« DisabledByDefault » = DWORD: 00000001

Ce contenu s'affiche dans le format d'exportation REGEDIT standard.

Remarques
  • La clé de chiffrement ne doit contenir aucun valeurs ou des sous-clés.
  • La clé CipherSuites ne doit contenir aucun valeurs ou des sous-clés.
  • La clé de hachage ne doit contenir aucun valeurs ou des sous-clés.
  • La clé KeyExchangeAlgorithms ne doit contenir aucun valeurs ou des sous-clés.
  • La clé de protocoles doit contenir les sous-clés et la valeur suivantes :
    • Protocoles
      • SSL 2.0
        • Client
          • DisabledByDefault REG_DWORD 0 x 00000001 (valeur)
Windows Server 2008 prend en charge les protocoles suivants :
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 et Windows 7 prennent en charge les protocoles suivants :
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Ces protocoles peuvent être désactivés pour le serveur ou l'architecture du client. Cela signifie que le protocole peut être omis ou désactivé comme suit :
  • Le protocole peut être omis de la liste des protocoles pris en charge qui sont inclus dans le Client Hello lorsqu'une connexion SSL est démarrée.
  • Le protocole peut être désactivé sur le serveur afin que le serveur ne répond pas à l'aide de ce protocole même si un client demande SSL 2.0.
Chaque protocole de désigner les sous-clés de client et le serveur. Vous pouvez désactiver un protocole pour le client ou le serveur. Toutefois, la désactivation de chiffrements, des hachages ou des CipherSuites affecte les côtés client et serveur. Vous devrez créer les sous-clés nécessaires sous la clé de protocoles pour y parvenir. Par exemple :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
« DisabledByDefault » = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS de 1,1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Une fois créés, les sous-clés de Registre s'affiche comme suit :

Réduire cette imageAgrandir cette image
2880599


Par défaut, le Client SSL 2.0 est désactivé dans Windows Server 2008, Windows Server 2008 R2 et Windows 7. Cela signifie que l'ordinateur ne sera pas utiliser SSL 2.0 à démarrer un Client Hello. Par conséquent, le Registre s'affiche comme suit :

Réduire cette imageAgrandir cette image
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
« DisabledByDefault » = DWORD: 00000001
Exactement comme les chiffrements et KeyExchangeAlgorithms, les protocoles peuvent être activés ou désactivés. Pour désactiver les autres protocoles, sélectionnez le côté de la conversation pour lequel vous souhaitez désactiver le protocole, puis ajoutez la « Enabled » = DWORD: 00000000 valeur. L'exemple suivant désactive SSL 2.0 pour le serveur et également SSL 2.0 pour le client.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
« DisabledByDefault » = DWORD: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 0\Server]
« Enabled » = DWORD: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Une fois que vous n'effectuez pas cette opération, vous devez redémarrer le serveur.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment faire pour restreindre l'utilisation de certains algorithmes et protocoles cryptographiques dans le fichier Schannel.dll.Ces informations s'appliquent également aux applications d'éditeurs indépendants de logiciels qui sont écrits pour Microsoft Cryptography API (CAPI).

Remarque : Pour les clés de Registre qui s'appliquent à Windows Server 2008 et les versions ultérieures de Windows, consultez la section « pour les versions ultérieures de Windows ».

Plus d'informations

Les fournisseurs de services cryptographiques (CSP) suivants qui sont inclus avec Windows NT 4.0 Service Pack 6 ont été attribués les certificats pour Validation de cryptographie FIPS-140-1:
  • Fournisseur de services cryptographiques de Base Microsoft (Rsabase.dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) (version non exportée) est
Fournisseur de sécurité TLS/SSL Microsoft, le fichier Schannel.dll, utilise les fournisseurs de services cryptographiques sont répertoriées ici pour effectuer des communications sécurisées sur SSL ou TLS dans sa prise en charge d'Internet Explorer et Internet Information Services (IIS).

Vous pouvez modifier le fichier Schannel.dll pour prendre en charge la Suite de chiffrement 1 et 2. Toutefois, le programme doit prennent également en charge la Suite de chiffrement 1 et 2. Suite de chiffrement 1 et 2 ne sont pas pris en charge dans IIS 4.0 et 5.0.

Cet article contient les informations nécessaires pour configurer le TLS/SSL Security fournisseur pour Windows NT 4.0 Service Pack 6 et les versions ultérieures. Vous pouvez utiliser le Registre Windows pour contrôler l'utilisation des suites de chiffrement SSL 3.0 ou TLS 1.0 en ce qui concerne les algorithmes de chiffrement qui sont pris en charge par le fournisseur de services cryptographiques de Base ou le fournisseur cryptographique amélioré.

Remarque : Dans Windows NT 4.0 Service Pack 6, le fichier Schannel.dll n'utilise pas Microsoft Base DSS Cryptographic Provider (Dssbase.dll) ou le Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.dll).

Suites de chiffrement

Les deux SSL 3.0 ()http://www.Mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt) et TLS 1.0 (RFC2246) avec le brouillon INTERNET intitulé « Suites de chiffrement 56 bits exportation pour TLS draft-ietf-tls-56-bit-ciphersuites-00.txt » proposent des options pour utiliser les suites de chiffrement différente. Chaque suite de chiffrement détermine l'échange de clés, d'authentification, le cryptage et algorithmes MAC qui sont utilisés dans une session SSL/TLS. Notez que lorsque vous utilisez RSA sous forme d'échange de clés et algorithmes d'authentification, le terme RSA n'apparaît qu'une seule fois dans les définitions de suite de chiffrement correspondantes.

Le fournisseur sécurité Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL prend en charge le défini par SSL 3.0 à suivant « CipherSuite » lorsque vous utilisez le fournisseur de services cryptographiques de Base ou le fournisseur cryptographique amélioré :
Réduire ce tableauAgrandir ce tableau
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
SSL_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
SSL_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
SSL_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
Remarque : Ni SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA, ni SSL_RSA_EXPORT1024_WITH_RC4_56_SHA est défini dans le texte de SSL 3.0. Toutefois, plusieurs fournisseurs de SSL 3.0 les prennent en charge. Cela inclut Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider prend également en charge le défini par TLS 1.0 à suivant « CipherSuite » lorsque vous utilisez le fournisseur de services cryptographiques de Base ou Microsoft Enhanced Cryptographic Provider :

Réduire ce tableauAgrandir ce tableau
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
TLS_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
TLS_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
TLS_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
Remarque : Une suite de chiffrement qui est définie en utilisant le premier octet « 0 x 00 » est non privées et est utilisée pour les communications interopérables ouvertes. Par conséquent, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider suit les procédures d'utilisation de ces suites de chiffrement tel que spécifié dans SSL 3.0 et TLS 1.0 pour vous assurer de l'interopérabilité.

Clés de Registre Schannel spécifiques

Important : Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, des problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
Remarque : Toute modification apportée à la valeur de la clé de chiffrement ou de la clé de HACHAGES prendre effet immédiatement, sans redémarrage du système.

Clé de SCHANNEL

Démarrez l'Éditeur du Registre (Regedt32.exe) et recherchez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Sous-clé de SCHANNEL\Protocols

Pour activer le système à utiliser les protocoles qui ne seront pas négociées par défaut (par exemple TLS 1.1 et TLS 1.2), modifiez les données de la valeur DWORD de la valeur de DisabledByDefault à 0 x 0 dans les clés de Registre suivantes sous la clé de protocoles :
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Avertissement : La valeur de DisabledByDefault dans les clés de Registre sous la clé de protocoles ne prend pas la priorité sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour les informations d'identification de Schannel.

Sous-clé de SCHANNEL\Ciphers

La clé de Registre de chiffrements sous la clé SCHANNEL est utilisée pour contrôler l'utilisation des algorithmes symétriques tels que DES et RC4. Voici une liste des clés de Registre valide sous la clé de chiffrement.
Sous-clé SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Cette sous-clé se réfère à 128 bits RC4.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Modifier les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée. Cette clé de Registre ne s'applique pas à un serveur exportable qui ne dispose pas d'un certificat SGC.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
Sous-clé de SCHANNEL\Ciphers\Triple DES 168/168
Triple DES 168

Cette clé de Registre fait référence à 168 bits Triple DES, comme spécifié dans ANSI X9.52 et brouillon FIPS 46-3. Cette clé de Registre ne s'applique pas à la version d'exportation.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Modifier les données DWORD 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Sous-clé SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Cette clé de Registre fait référence à RC2 128 bits. Il ne s'applique pas à la version d'exportation.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

Sous-clé SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Cette clé de Registre fait référence à 64 bits RC4. Il ne s'applique pas à la version d'exportation (mais est utilisée dans Microsoft Money).

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

SCHANNEL\Ciphers\RC4 56/128 sous-clé
RC4 56/128

Cette clé de Registre fait référence à 56 bits RC4.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 sous-clé
RC2 56/128

Cette clé de Registre fait référence à RC2 56 bits.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

Sous-clé SCHANNEL\Ciphers\RC2 56/56

DES 56

Cette clé de Registre fait référence à DES 56 bits tel que spécifié dans FIPS 46-2. Sa mise en oeuvre dans les fichiers Rsabase.dll et Rsaenh.dll est validé sous le programme de Validation de Module de chiffrement FIPS 140-1.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Sous-clé SCHANNEL\Ciphers\RC4 40/128

RC4 40/128

Il s'agit de RC4 40 bits.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Sous-clé SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

Cette clé de Registre fait référence à RC2 40 bits.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0. Si vous ne configurez pas la valeur activé, la valeur par défaut est activée.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sous-clé de SCHANNEL\Ciphers\NULL

VALEUR NULL

Cette clé de Registre ne signifie aucun cryptage. Par défaut, elle est désactivée.

Pour désactiver le cryptage (interdire tous les algorithmes de chiffrement), modifier les données de la valeur DWORD de la valeur Enabled à 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0.

Sous-clé SCHANNEL/hachages

La clé de Registre hachages sous la clé SCHANNEL est utilisée pour contrôler l'utilisation des algorithmes de hachage telles que SHA-1 et MD5. Voici une liste des clés de Registre valide sous la clé de hachage.

Sous-clé de SCHANNEL\Hashes\MD5

MD5

Pour permettre cet algorithme de hachage, modifiez les données de la valeur DWORD de la valeur Enabled la valeur par défaut 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sous-clé de SCHANNEL\Hashes\SHA

SHA

Cette clé de Registre fait référence à l'algorithme de hachage sécurisé (SHA-1), tel que spécifié dans la norme FIPS 180-1. Sa mise en oeuvre dans les fichiers Rsabase.dll et Rsaenh.dll est validé sous le programme de Validation de Module de chiffrement FIPS 140-1.

Pour permettre cet algorithme de hachage, modifiez les données de la valeur DWORD de la valeur Enabled la valeur par défaut 0xFFFFFFFF. Dans le cas contraire, modifiez les données de la valeur DWORD à 0 x 0.

La désactivation de cet algorithme efficace n'autorise pas les éléments suivants :
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Sous-clé SCHANNEL/KeyExchangeAlgorithms

La clé de Registre KeyExchangeAlgorithms sous la clé SCHANNEL est utilisée pour contrôler l'utilisation d'algorithmes d'échange de clés tel que RSA. Voici une liste des clés de Registre valide sous la clé KeyExchangeAlgorithms.

Sous-clé de SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Cette clé de Registre fait référence à la RSA comme les algorithmes de clé exchange et l'authentification.

Pour permettre à RSA, modifier les données de la valeur DWORD de la valeur Enabled la valeur par défaut 0xFFFFFFFF. Dans le cas contraire, modifiez les données DWORD 0 x 0.

La désactivation de RSA efficacement interdit toutes basées sur RSA SSL et TLS suites de chiffrement pris en charge par le fournisseur de sécurité TLS/SSL Microsoft Windows NT4 SP6.

FIPS 140-1 cipher suites

Vous souhaiterez peut-être utiliser uniquement ces SSL 3.0 ou TLS 1.0 suites de chiffrement qui correspondent à 46-3 FIPS ou FIPS 46-2 et fournis par la Base Microsoft ou le fournisseur de cryptage amélioré des algorithmes FIPS 180-1.

Dans cet article, nous appelons les FIPS 140-1 cipher suites. Plus précisément, ils sont comme suit :
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Pour utiliser uniquement les suites FIPS 140-1 cipher défini ici et pris en charge par Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider avec le fournisseur de services cryptographiques de Base ou le fournisseur cryptographique amélioré, configurer les données de la valeur DWORD de la valeur activé dans les clés de Registre suivantes pour 0 x 0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Et configurer les données de la valeur DWORD de la valeur activé dans les clés de Registre suivantes pour 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 » (non applicable dans la version d'exportation)
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Calcul secret principal à l'aide de FIPS 140-1 cipher suites

Les procédures d'utilisation du chiffrement de 140-1 FIPS suites de SSL 3.0 diffèrent des procédures permettant d'utiliser les suites de chiffrement-140-1 FIPS dans TLS 1.0.

SSL 3.0, le suivant est le calcul master_secret définition :

Dans TLS 1.0, voici le calcul master_secret définition :

où :

Sélection de l'option à utiliser uniquement les suites FIPS 140-1 chiffrement TLS 1.0 :

En raison de cette différence, les clients peuvent souhaiter interdire l'utilisation de SSL 3.0, bien que le jeu autorisé des suites de chiffrement est limité au sous-ensemble des FIPS 140-1 suites de chiffrement. Dans ce cas, modifiez les données de la valeur DWORD de la valeur Enabled à 0 x 0 dans les clés de Registre suivantes sous la clé de protocoles :
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Avertissement : Les données de la valeur activé dans ces clés de Registre sous la clé de protocoles sont prioritaire sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour les informations d'identification de Schannel. Les données de la valeur par défaut activé est 0xFFFFFFFF.

Exemples de fichiers de Registre

Deux exemples de contenu de fichier de Registre pour la configuration sont fournies dans cette section de l'article. Elles sont Export.reg et Non-export.reg.

Sur un ordinateur qui exécute Windows NT 4.0 Service Pack 6 avec le Rasbase.dll exportable et fichiers Schannel.dll, exécutez Export.reg pour vous assurer que seulement TLS 1.0 FIPS des suites de chiffrement sont utilisés par l'ordinateur.

Sur un ordinateur qui exécute Windows NT 4.0 Service Pack 6, qui inclut la Rasenh.dll non exportable et fichiers Schannel.dll, exécutez Non-export.reg pour vous assurer que seulement TLS 1.0 FIPS des suites de chiffrement sont utilisés par l'ordinateur.

Pour le fichier Schannel.dll reconnaître toute modification sous la clé de Registre SCHANNEL, vous devez redémarrer l'ordinateur.

Pour rétablir les paramètres de Registre par défaut, supprimez la clé de Registre SCHANNEL et tout ce qu'il contient. Si ces clés de Registre ne sont pas présents, le fichier Schannel.dll reconstruit les touches lorsque vous redémarrez l'ordinateur.

Propriétés

Numéro d'article: 245030 - Dernière mise à jour: mardi 10 décembre 2013 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Entreprise
  • Windows 7 Professionnel
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Édition Entreprise
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
Mots-clés : 
kbenv kbinfo kbmt KB245030 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 245030
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com