Select the product you need help with
Limitazione dell'utilizzo di determinati algoritmi di crittografia e protocolli in Schannel.dllIdentificativo articolo: 245030 - Visualizza i prodotti a cui si riferisce l?articolo. In questa paginaSommarioIn questo articolo viene descritto come limitare l'utilizzo di determinati algoritmi di crittografia e protocolli nel file Schannel.dll. Queste informazioni si applicano anche alle applicazioni di fornitori di software indipendenti (ISV, Independent Software Vendor) scritte per l'API Microsoft Cryptographic. Informazioniil seguenti Crypto Service Provider (CSP) incluso in Windows NT 4.0 Service Pack 6 sono stato assegnato i certificati per la FIPS-140-1 crypto validation
(http://csrc.nist.gov/cryptval/140-1/1401val.htm)
:
È possibile modificare il file Schannel.dll per il supporto Suite Cipher 1 e 2, ma il programma deve inoltre supportare Cipher Suite 1 e 2. Suite di crittografia 1 e 2 non sono supportati in IIS 4.0 e 5.0. In questo articolo vengono fornite le informazioni necessarie per configurare il Service Pack 6 per Windows NT 4.0 e versioni successive TLS/SSL Security Provider. È possibile utilizzare il Registro di sistema per controllare l'utilizzo di specifica SSL 3.0 o pacchetto di crittografia TLS 1.0 relative per gli algoritmi di crittografia supportati da Microsoft Base o Enhanced Cryptographic Provider. Nota: In Windows NT 4.0 Service Pack 6, il file Schannel.dll non utilizza Microsoft Base DSS Cryptographic Provider (Dssbase.dll) o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.dll). Suite di crittografiaSSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt
(http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt)
) e TLS 1.0 (RFC2246) con INTERNET-bozza "a 56 bit Suite esportazione cipher per TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" forniscono opzioni per utilizzare il pacchetto di crittografia diverso. Ogni suite di crittografia determina di scambio delle chiavi, autenticazione, crittografia e MAC algoritmi utilizzati all'interno di una sessione SSL/TLS. Nota Quando si utilizza RSA come scambio di chiavi e algoritmi di autenticazione, il termine RSA visualizzato una sola volta nelle definizioni di suite di crittografia corrispondente. Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider supporta le seguenti "CipherSuite" definito in SSL 3.0 quando si utilizza il Microsoft Base o Enhanced Cryptographic Provider: Riduci questa tabella
Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider supporta inoltre il seguente "CipherSuite" definito in TLS 1.0 quando si utilizza Microsoft Base o Enhanced Cryptographic Provider: Riduci questa tabella
Chiavi di registro specifiche di SchannelImportante Questa sezione, metodo o attività contiene illustrato come modificare il Registro di sistema. Tuttavia, può causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:322756
(http://support.microsoft.com/kb/322756/
)
Come eseguire il backup e ripristino del Registro di sistema in WindowsChiave SCHANNELAvviare l'editor del Registro di sistema (Regedt32.exe) e individuare la seguente chiave del Registro di sistema.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Sottochiave SCHANNEL\ProtocolsPer attivare l'utilizzo dei protocolli non viene negoziata in base all'impostazione predefinita (ad esempio 1.1 TLS o 1.2 TLS), modificare i dati del valore DWORD del valore DisabledByDefault per 0 x 0 in ciascuna delle seguenti chiavi del Registro di sistema nella chiave protocolli:
Sottochiave SCHANNEL\CiphersLa chiave del Registro di sistema cifre nella chiave SCHANNEL consente di controllare l'utilizzo di algoritmi simmetrici, ad esempio DES o RC4. Di seguito sono chiavi del Registro di sistema valida nella chiave cifre.SCHANNEL\Ciphers\RC4 128 o 128 Subkey: RC4 128 O 128 Questa sottochiave fa riferimento a 128 bit RC4. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. Questa chiave del Registro di sistema non è applicabile a un server esportabile non dispone di un certificato SGC. Non consente la disattivazione di questo algoritmo in modo efficace:
Triple DES/168 168 Questa chiave del Registro di sistema fa riferimento a 168 bit Triple DES come specificato nella bozza FIPS e ANSI X9.52 46-3. Questa chiave del Registro di sistema non è applicabile alla versione di esportazione. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. Non consente la disattivazione di questo algoritmo in modo efficace:
RC2 128 O 128 Questa chiave del Registro di sistema fa riferimento a RC2 a 128 bit. Non si applica alla versione di esportazione. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. SCHANNEL\Ciphers\RC4 64 o 128 Subkey: RC4 64 O 128 Questa chiave del Registro di sistema fa riferimento a 64 bit RC4. Non è valida per la versione di esportazione (ma viene utilizzato in Microsoft Money). Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. SCHANNEL\Ciphers\RC4 56 o 128 Subkey: RC4 56 O 128 Questa chiave del Registro di sistema fa riferimento a 56 bit RC4. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. Non consente la disattivazione di questo algoritmo in modo efficace:
RC2 A 56 O 128 Questa chiave del Registro di sistema fa riferimento a RC2 a 56 bit. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. SCHANNEL\Ciphers\RC2 56/56 Subkey: DES A 56/56 Questa chiave del Registro di sistema fa riferimento a 56 bit DES come specificato in FIPS 46 2. L'implementazione nei file Rsabase.dll e Rsaenh.dll è stato convalidato in FIPS 140-1 Cryptographic Module Validation Program. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. Non consente la disattivazione di questo algoritmo in modo efficace:
RC4 40 O 128 Si riferisce a RC4 40 bit. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. Non consente la disattivazione di questo algoritmo in modo efficace:
RC2 40 O 128 Questa chiave del Registro di sistema fa riferimento a RC2 a 40 bit. Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Se non si configura il valore Enabled, il valore predefinito è attivato. Non consente la disattivazione di questo algoritmo in modo efficace:
NULL Questa chiave del Registro di sistema indica che senza crittografia. È disattivato per impostazione predefinita. Per disattivare la crittografia (non consentire tutti gli algoritmi di crittografia), modificare i dati del valore DWORD del valore Enabled su 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Sottochiave SCHANNEL/hashLa chiave del Registro di sistema di hash della chiave SCHANNEL consente di controllare l'utilizzo di algoritmi di hash, ad esempio MD5 o SHA-1. Di seguito sono chiavi del Registro di sistema valida nella chiave hash.SCHANNEL\Hashes\MD5 Subkey: MD5 Per consentire questo algoritmo di hashing, modificare i dati del valore DWORD del valore abilitato per il valore predefinito 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Non consente la disattivazione di questo algoritmo in modo efficace:
SHA Questa chiave del Registro di sistema fa riferimento a Secure Hash Algorithm (SHA-1), come specificato in FIPS 180-1. L'implementazione nei file Rsabase.dll e Rsaenh.dll è stato convalidato in FIPS 140-1 Cryptographic Module Validation Program. Per consentire questo algoritmo di hashing, modificare i dati del valore DWORD del valore abilitato per il valore predefinito 0xffffffff, in caso contrario modificare i dati del valore DWORD su 0 x 0. Non consente la disattivazione di questo algoritmo in modo efficace:
SCHANNEL/KeyExchangeAlgorithms sottochiaveLa chiave del Registro di sistema KeyExchangeAlgorithms sotto la chiave SCHANNEL consente di controllare l'utilizzo di algoritmi di scambio delle chiavi, ad esempio RSA. Di seguito sono chiavi del Registro di sistema valida nella chiave KeyExchangeAlgorithms.SCHANNEL\KeyExchangeAlgorithms\PKCS Subkey: PKCS Questa chiave del Registro di sistema fa riferimento il RSA come gli algoritmi di autenticazione e scambio di chiavi. Per consentire a RSA, modificare i dati del valore DWORD del valore abilitato per il valore predefinito 0xffffffff, in caso contrario modificare i dati DWORD su 0 x 0. Disattivazione in modo efficace RSA non ammette basate su RSA SSL e TLS pacchetto di crittografia supportati da Windows NT 4.0 SP6 Microsoft TLS/SSL Security Provider. FIPS 140-1 Cipher SuiteÈ possibile che si desidera utilizzare solo tali SSL 3.0 o TLS 1.0 pacchetto di crittografia che corrispondono a FIPS 46-3 o FIPS 46 2 e FIPS 180-1 gli algoritmi forniti da Microsoft Base o Enhanced Cryptographic Provider.In questo articolo si fa riferimento a essi come FIPS 140-1 cipher famiglie di prodotti. In particolare, sono:
Calcolo del segreto master con FIPS 140-1 Cipher SuiteLe procedure per l'utilizzo del pacchetto di crittografia 140-1 FIPS sopra in SSL 3.0 sono diverse da quelle per l'utilizzo di (sopra) FIPS 140-1 cipher famiglie di prodotti in TLS 1.0.In SSL 3.0, di seguito è il calcolo master_secret definizione: A causa della differenza precedente, i clienti desideri proibire l'utilizzo di SSL 3.0, anche se il set di suite di crittografia consentito è stato limitato al sottoinsieme di FIPS 140-1 cipher Suite. In tal caso, modificare i dati del valore DWORD del valore Enabled per 0 x 0 in ciascuna delle seguenti chiavi del Registro di sistema nella chiave protocolli:
Esempio di file di registroIn questa sezione dell'articolo vengono forniti due esempi di contenuto del file del Registro di sistema ai fini della configurazione, Export.reg e non-export.reg.In un computer che esegue Windows NT 4.0 Service Pack 6 con i file di Rasbase.dll e Schannel.dll esportabili, eseguiti Export.reg per garantire che solo il pacchetto di crittografia TLS 1.0 FIPS viene utilizzato dal computer. In un computer che esegue Windows NT 4.0 Service Pack 6 include Rasenh.dll non esportabile e i file Schannel.dll, eseguiti export.reg non per garantire che solo TLS 1.0 FIPS cipher famiglie di prodotti vengono utilizzati dal computer. Per il file Schannel.dll di riconoscere le modifiche nella chiave del Registro di sistema SCHANNEL, è necessario riavviare il computer. Per ripristinare le impostazioni del Registro di sistema per impostazione predefinita, eliminare la chiave del Registro di sistema SCHANNEL e tutti gli elementi in esso contenuti. Se queste chiavi del Registro di sistema non sono presenti, il file Schannel.dll ricostruisce le chiavi quando si riavvia il computer. ProprietàIdentificativo articolo: 245030 - Ultima modifica: mercoledì 7 aprile 2010 - Revisione: 4.0 Le informazioni in questo articolo si applicano a:
Traduzione automatica articoli Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica. Clicca qui per visualizzare la versione originale in inglese dell?articolo: 245030
(http://support.microsoft.com/kb/245030/en-us/
)
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO. | Traduzione articoli
|




Torna all'inizio








