Cara untuk membatasi penggunaan tertentu algoritma kriptografi dan protokol di Schannel.dll

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 245030 - Melihat produk di mana artikel ini berlaku.
Untuk versi Windows
bukti kunci registri dan konten mereka di Windows Server 2008, Windows 7 dan Windows Server 2008 R2 terlihat berbeda dari bukti kunci registri di Windows Server 2003 dan versi sebelumnya. Lokasi registri di Windows 7, Windows Server 2008, dan Windows Server 20008 R2 dan isinya default adalah sebagai berikut:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001

Konten ini akan ditampilkan dalam format ekspor REGEDIT standar.

Catatan
  • bukti kunci sandi harus berisi nilai-nilai tidak ada atau subkunci.
  • bukti kunci CipherSuites harus berisi nilai-nilai tidak ada atau subkunci.
  • bukti kunci hash harus berisi nilai-nilai tidak ada atau subkunci.
  • bukti kunci KeyExchangeAlgorithms harus berisi nilai-nilai tidak ada atau subkunci.
  • tombol tekan protokol harus berisi subkunci dan nilai berikut:
    • Protokol
      • SSL 2.0
        • Klien
          • DisabledByDefault REG_DWORD 0x00000001 (nilai)
Windows Server 2008 mendukung protokol berikut:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 dan Windows 7 mendukung protokol berikut:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Protokol-protokol ini dapat dinonaktifkan untuk server atau arsitektur klien. Ini berarti protokol dapat dihilangkan atau dinonaktifkan sebagai berikut:
  • Protokol yang dapat dihilangkan dari daftar protokol yang didukung yang termasuk dalam klien Halo ketika koneksi SSL mulai.
  • Protokol dapat dinonaktifkan pada server sehingga server akan merespon dengan menggunakan protokol bahwa bahkan jika seorang klien meminta SSL 2.0.
Subkunci klien dan server menetapkan masing-masing protokol. Anda dapat menonaktifkan protokol klien atau server. Namun, menonaktifkan sandi, hash, atau CipherSuites mempengaruhi sisi klien dan server. Anda akan harus membuat subkunci yang diperlukan di bawah protokol bukti kunci untuk mencapai hal ini. Sebagai contoh:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1,1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Setelah dibuat, subkunci registri ditampilkan sebagai berikut:

Perkecil gambar iniPerbesar gambar ini
2880599


secara asali, klien SSL 2.0 dinonaktifkan di Windows Server 2008, Windows Server 2008 R2 dan Windows 7. Ini berarti bahwa komputer tidak akan menggunakan SSL 2.0 untuk memulai klien Halo. Oleh karena itu, registri akan ditampilkan sebagai berikut:

Perkecil gambar iniPerbesar gambar ini
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001
Persis seperti sandi dan KeyExchangeAlgorithms, protokol dapat diaktifkan atau dinonaktifkan. Untuk menonaktifkan protokol lain, pilih sisi percakapan yang Anda ingin menonaktifkan protokol, dan kemudian tambahkan "Diaktifkan" = dword:00000000 nilai. Contoh berikut menonaktifkan SSL 2.0 untuk server dan juga SSL 2.0 untuk klien.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Diaktifkan" = dword:00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Setelah Anda mengambil tindakan ini, Anda harus me-restart server.
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

Artikel ini menjelaskan cara untuk membatasi penggunaan tertentu algoritma kriptografi dan protokol dalam Schannel.dll file.Informasi ini juga berlaku untuk aplikasi peranti penangkap lunak independen vendor (ISV) yang ditulis untuk Microsoft kriptografi API (CAPI).

Catatan Untuk bukti kunci registri yang berlaku untuk Windows Server 2008 dan versi Windows, lihat bagian "untuk versi Windows".

Informasi lebih lanjut

penyedia layanan kriptografik berikut (CSP) yang disertakan dengan Windows NT 4.0 Service Pack 6 dianugerahi sertifikat untuk Validasi kripto FIPS-140-1:
  • Penyedia kriptografi basis Microsoft (Rsabase.dll)
  • Microsoft ditingkatkan kriptografi penyedia (Rsaenh.dll) (ekspor bebas-versi)
Penyedia keamanan Microsoft TLS/SSL, Schannel.dll file, menggunakan CSP yang tercantum di sini untuk melakukan komunikasi yang aman melalui SSL atau TLS dalam dukungan untuk Internet Explorer dan Internet Information Services (IIS).

Anda dapat mengubah file Schannel.dll untuk mendukung Cipher Suite 1 dan 2. Namun, program juga harus mendukung Cipher Suite 1 dan 2. Cipher Suite 1 dan 2 tidak didukung dalam IIS 4.0 dan 5.0.

Artikel ini berisi informasi yang diperlukan untuk mengkonfigurasi TLS/SSL keamanan penyedia untuk Windows NT 4.0 Service Pack 6 dan versi yang lebih baru. Anda dapat menggunakan registri Windows untuk mengontrol penggunaan tertentu SSL 3.0, atau TLS 1.0 cipher Suite sehubungan dengan algoritma kriptografi yang didukung oleh penyedia kriptografi dasar atau ditingkatkan penyedia kriptografi.

Catatan Dalam Windows NT 4.0 Service Pack 6, Schannel.dll file tidak menggunakan Microsoft Base DSS kriptografi penyedia (Dssbase.dll) atau Microsoft DS/Diffie-Hellman ditingkatkan kriptografi penyedia (Dssenh.dll).

Cipher suite

Kedua SSL 3.0 ()http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) dan TLS 1.0 (RFC2246) dengan INTERNET-DRAFT "56-bit ekspor Cipher Suite untuk TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" memberikan pilihan untuk menggunakan berbeda cipher suite. Setiap suite cipher menentukan pertukaran bukti kunci, otentikasi, enkripsi, dan MAC algoritma yang digunakan dalam sesi SSL/TLS. Perhatikan bahwa ketika Anda menggunakan RSA sebagai pertukaran bukti kunci dan otentikasi algoritma, istilah RSA muncul satu kali dalam cipher suite definisi yang sesuai.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL keamanan Provider mendukung berikut SSL 3.0-didefinisikan "CipherSuite" ketika Anda menggunakan penyedia kriptografi dasar atau ditingkatkan penyedia kriptografi:
Perkecil tabel iniPerbesar tabel ini
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Catatan Baik SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA maupun SSL_RSA_EXPORT1024_WITH_RC4_56_SHA didefinisikan dalam teks SSL 3.0. Namun, beberapa vendor SSL 3.0 dukungan mereka. Ini termasuk Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL keamanan Provider juga mendukung berikut TLS 1.0-didefinisikan "CipherSuite" ketika Anda menggunakan penyedia kriptografi dasar atau ditingkatkan penyedia kriptografi:

Perkecil tabel iniPerbesar tabel ini
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Catatan Cipher suite yang didefinisikan oleh menggunakan byte pertama "0x00" non-swasta dan digunakan untuk komunikasi yang terbuka. Oleh karena itu, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL keamanan Provider mengikuti prosedur untuk menggunakan cipher suite ini sebagaimana ditetapkan dalam SSL 3.0 dan TLS 1.0 untuk memastikan interoperability.

bukti kunci registri khusus Schannel

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows
Catatan Setiap perubahan isi bukti kunci sandi atau bukti kunci HASH mengambil efek segera, tanpa me-restart sistem.

bukti kunci SCHANNEL

Mulai Peninjau suntingan registri (Regedt32.exe), dan kemudian Cari bukti kunci registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols subkunci

Untuk mengaktifkan sistem menggunakan protokol yang tidak boleh dinegosiasikan secara asali (seperti TLS 1.1 dan 1,2 TLS), mengubah data nilai DWORD nilai DisabledByDefault ke 0x0 dalam berikut bukti kunci registri di bawah bukti kunci protokol:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Peringatan DisabledByDefault nilai dalam bukti kunci registri di bawah bukti kunci protokol tidak diutamakan daripada nilai grbitEnabledProtocols yang didefinisikan dalam struktur SCHANNEL_CRED yang berisi data untuk kredensial Schannel.

SCHANNEL\Ciphers subkunci

Sandi bukti kunci registri di bawah bukti kunci SCHANNEL yang digunakan untuk mengontrol penggunaan algoritma simetrik seperti DES dan RC4. Berikut ini adalah bukti kunci berlaku registri di bawah bukti kunci sandi.
SCHANNEL\Ciphers\RC4 128/128 subkunci
RC4 128/128

Subkunci ini merujuk kepada 128-bit RC4.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Atau, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan. bukti kunci registry ini tidak sahih untuk server ekspor yang tidak memiliki sertifikat SGC.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 subkunci
Triple DES 168

bukti kunci registry ini menunjuk kepada 168-bit Triple DES sebagaimana ditetapkan dalam ANSI X9.52 dan rancangan FIPS 46-3. bukti kunci registry ini tidak sahih untuk versi ekspor.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Atau, mengubah DWORD data 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 subkunci
RC2 128/128

bukti kunci registry ini menunjuk kepada RC2 128-bit. tidak sahih untuk versi ekspor.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

SCHANNEL\Ciphers\RC4 64/128 subkunci
RC4 64/128

bukti kunci registry ini menunjuk kepada RC4 64-bit. Itu tidak sahih untuk versi ekspor (tapi yang digunakan dalam Microsoft Money).

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

SCHANNEL\Ciphers\RC4 56/128 subkunci
RC4 56/128

bukti kunci registry ini menunjuk kepada 56-bit RC4.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 subkunci
RC2 56/128

bukti kunci registry ini menunjuk kepada 56-bit RC2.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

SCHANNEL\Ciphers\RC2 56/56 subkunci

DES 56

bukti kunci registry ini menunjuk kepada 56-bit DES sebagaimana ditetapkan dalam FIPS 46-2. Pelaksanaannya di Rsabase.dll dan Rsaenh.dll file divalidasi di bawah FIPS 140-1 kriptografi modul validasi Program.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 subkunci

RC4 40/128

Ini merujuk kepada 40-bit RC4.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 subkunci

RC2 40/128

bukti kunci registry ini menunjuk kepada 40-bit RC2.

Untuk memungkinkan algoritma cipher ini, mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai diaktifkan, default akan diaktifkan.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL subkunci

NULL

bukti kunci registri ini berarti tidak ada enkripsi. secara asali, dimatikan.

Untuk mematikan enkripsi (melarang semua cipher algoritma), mengubah data nilai DWORD nilai diaktifkan 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0.

SCHANNEL hash subkunci

Hash bukti kunci registri di bawah bukti kunci SCHANNEL yang digunakan untuk mengontrol penggunaan hashing algoritma seperti SHA-1 dan MD5. Berikut ini adalah bukti kunci berlaku registri di bawah bukti kunci hash.

SCHANNEL\Hashes\MD5 subkunci

MD5

Untuk memungkinkan ini hashing algoritma, mengubah data nilai DWORD nilai diaktifkan ke nilai asali 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA subkunci

SHA

bukti kunci registri ini merujuk kepada Secure Hash Algorithm (SHA-1), sebagaimana ditetapkan dalam FIPS 180-1. Pelaksanaannya di Rsabase.dll dan Rsaenh.dll file divalidasi di bawah FIPS 140-1 kriptografi modul validasi Program.

Untuk memungkinkan ini hashing algoritma, mengubah data nilai DWORD nilai diaktifkan ke nilai asali 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0.

Penonaktifan algoritma ini secara efektif dilarang berikut:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subkunci SCHANNEL KeyExchangeAlgorithms

KeyExchangeAlgorithms bukti kunci registri di bawah bukti kunci SCHANNEL yang digunakan untuk mengontrol penggunaan pertukaran bukti kunci algoritma seperti RSA. Berikut ini adalah bukti kunci berlaku registri di bawah bukti kunci KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS subkunci
PKCS

bukti kunci registri ini merujuk kepada RSA sebagai bukti kunci asing dan otentikasi algoritma.

Untuk mengizinkan RSA, mengubah data nilai DWORD nilai diaktifkan ke nilai asali 0xffffffff. Jika tidak, perubahan DWORD data 0x0.

Menonaktifkan RSA secara efektif dilarang semua berbasis RSA SSL dan TLS cipher Suite didukung oleh Windows NT4 SP6 Microsoft TLS/SSL keamanan penyedia.

FIPS 140-1 cipher suite

Anda mungkin ingin menggunakan hanya mereka SSL 3.0, atau TLS 1.0 cipher suite yang sesuai untuk FIPS 46-3 atau FIPS 46-2 dan FIPS 180-1 algoritma yang disediakan oleh Microsoft Base atau penyedia kriptografi yang ditingkatkan.

Dalam artikel ini, kita merujuk kepada mereka sebagai FIPS 140-1 cipher suite. Secara khusus, mereka adalah sebagai berikut:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Untuk menggunakan hanya FIPS 140-1 cipher Suite sebagaimana didefinisikan di sini dan didukung oleh Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL keamanan Provider dengan penyedia kriptografi dasar atau ditingkatkan penyedia kriptografi, mengkonfigurasi data nilai DWORD diaktifkan nilai dalam bukti kunci registri berikut 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Dan mengkonfigurasi data nilai DWORD diaktifkan nilai dalam bukti kunci registri berikut 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168 168 "[tidak berlaku dalam ekspor versi]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

rahasia master perhitungan dengan menggunakan FIPS 140-1 cipher suite

Prosedur untuk menggunakan FIPS 140-1 cipher suite di SSL 3.0 berbeda dari prosedur untuk menggunakan FIPS 140-1 cipher suite di TLS 1.0.

Di SSL 3.0, berikut ini adalah definisi master_secret perhitungan:

Dalam TLS 1.0, berikut ini adalah definisi master_secret perhitungan:

dimana:

Memilih pilihan untuk menggunakan hanya FIPS 140-1 cipher suite di TLS 1.0:

Karena perbedaan ini, pelanggan dapat melarang penggunaan SSL 3.0 meskipun set diperbolehkan cipher Suite dibatasi hanya subset FIPS 140-1 cipher suite. Dalam hal ini, mengubah data nilai DWORD nilai diaktifkan 0x0 dalam berikut bukti kunci registri di bawah bukti kunci protokol:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Peringatan Data nilai diaktifkan di ini bukti kunci registri di bawah bukti kunci protokol diutamakan dibanding nilai grbitEnabledProtocols yang didefinisikan dalam struktur SCHANNEL_CRED yang berisi data untuk kredensial Schannel. Data nilai asali diaktifkan 0xffffffff.

Contoh registri file

Dua contoh dari isi file registri untuk konfigurasi disediakan dalam bagian ini artikel. Mereka adalah Export.reg dan bebas-export.reg.

Di komputer yang menjalankan Windows NT 4.0 Service Pack 6 dengan Rasbase.dll ekspor dan Schannel.dll file, jalankan Export.reg untuk memastikan bahwa hanya TLS 1.0 FIPS cipher Suite digunakan oleh komputer.

Di komputer yang menjalankan Windows NT 4.0 Service Pack 6 yang mencakup Rasenh.dll bebas-ekspor dan Schannel.dll file, jalankan bebas-export.reg untuk memastikan bahwa hanya TLS 1.0 FIPS cipher Suite digunakan oleh komputer.

Untuk file Schannel.dll untuk mengenali perubahan di bawah bukti kunci registri SCHANNEL, Anda harus me-restart komputer.

Untuk gulung balik pengaturan registri ke default, tombol tekan HAPUS registri SCHANNEL dan segala sesuatu di bawah ini. Buat jika bukti kunci registri tersebut tidak hadir, Schannel.dll kembali tombol tekan ketika Anda me-restart komputer.

Properti

ID Artikel: 245030 - Kajian Terakhir: 11 Desember 2013 - Revisi: 6.0
Berlaku bagi:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Kata kunci: 
kbenv kbinfo kbmt KB245030 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 245030

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com