Come limitare l'utilizzo di determinati algoritmi e protocolli crittografici in Schannel. dll

Traduzione articoli Traduzione articoli
Identificativo articolo: 245030 - Visualizza i prodotti a cui si riferisce l?articolo.
Per le versioni successive di Windows
Le chiavi del Registro di sistema e il loro contenuto in Windows Server 2008, Windows 7 e Windows Server 2008 R2 un aspetto diversi dalle chiavi del Registro di sistema in Windows Server 2003 e versioni precedenti. Il percorso del Registro di sistema in Windows 7, Windows Server 2008 e Windows Server R2 di 20008 e contenuti predefiniti sono i seguenti:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Questo contenuto viene visualizzato nel formato di esportazione standard REGEDIT.

Note
  • La chiave di crittografia a non deve contenere alcun valori o sottochiavi.
  • La chiave di stabilire non deve contenere alcun valori o sottochiavi.
  • La chiave di hash non deve contenere alcun valori o sottochiavi.
  • La chiave KeyExchangeAlgorithms non deve contenere alcun valori o sottochiavi.
  • La chiave di protocolli deve contenere le sottochiavi e il valore seguente:
    • Protocolli
      • SSL 2.0
        • Client
          • DisabledByDefault REG_DWORD 0x00000001 (valore)
Windows Server 2008 supporta i seguenti protocolli:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 e Windows 7 supportano i seguenti protocolli:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
╚ possibile disattivare questi protocolli per il server o l'architettura client. Questo significa che il protocollo pu˛ essere omesso o disabilitato nel modo seguente:
  • Il protocollo pu˛ essere omesso dall'elenco dei protocolli supportati sono inclusi in Hello Client quando viene avviata una connessione SSL.
  • ╚ possibile disattivare il protocollo sul server in modo che il server non risponderÓ tramite tale protocollo, anche se un client richiede SSL 2.0.
Le sottochiavi di client e server designare ogni protocollo. ╚ possibile disattivare un protocollo per il client o server. Tuttavia, la disabilitazione di crittografia, hash o stabilire riguarda i lati client e server. ╚ necessario creare le sottochiavi necessarie sotto la chiave di protocolli per ottenere questo risultato. Ad esempio:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Dopo aver create le sottochiavi, il Registro di sistema viene visualizzato come segue:

Riduci l'immagineEspandi l'immagine
2880599


Per impostazione predefinita, il Client SSL 2.0 Ŕ disabilitato in Windows Server 2008, Windows Server 2008 R2 e Windows 7. Ci˛ significa che il computer non verrÓ utilizzato SSL 2.0 per avviare un Client Hello. Pertanto, il Registro di sistema viene visualizzato come segue:

Riduci l'immagineEspandi l'immagine
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Esattamente come i cifrari e KeyExchangeAlgorithms, protocolli possono essere attivate o disabilitate. Per disattivare altri protocolli, selezionare il lato della conversazione per il quale si desidera disattivare il protocollo e quindi aggiungere il "Abilitato" = 00000000 valore. L'esempio seguente disattiva SSL 2.0 per il server e anche SSL 2.0 per il client.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Abilitato" = 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Dopo l'esecuzione di questa azione, Ŕ necessario riavviare il server.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come limitare l'utilizzo di alcuni algoritmi di crittografia e protocolli nel file Schannel. dll.Queste informazioni si applicano anche alle applicazioni di fornitore di software indipendenti vengono scritte per Microsoft Cryptographic API (CAPI).

Nota. Per le chiavi del Registro di sistema che si applicano a Windows Server 2008 e versioni successive di Windows, vedere la sezione "per le versioni successive di Windows".

Informazioni

I seguenti provider di servizio di crittografia (CSP) che sono inclusi in Windows NT 4.0 Service Pack 6 sono stati rilasciati i certificati per Convalida di crittografia FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase. dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh. dll) (versione non per l'esportazione)
Provider di protezione di Microsoft TLS/SSL, il file Schannel. dll, utilizza i CSP sono elencati di seguito per effettuare comunicazioni protette tramite SSL o TLS nel proprio supporto per Internet Explorer e Internet Information Services (IIS).

╚ possibile modificare il file Schannel. dll per il supporto del pacchetto di crittografia 1 e 2. Tuttavia, il programma deve supportare anche il pacchetto di crittografia 1 e 2. Pacchetto di crittografia 1 e 2 non sono supportati in IIS 4.0 e 5.0.

In questo articolo contiene le informazioni necessarie per configurare il TLS/SSL Security Provider per Windows NT 4.0 Service Pack 6 e versioni successive. ╚ possibile utilizzare il Registro di sistema di Windows per controllare l'utilizzo di specifiche suite di cifratura SSL 3.0 o TLS 1.0 per quanto riguarda gli algoritmi di crittografia supportati da Base Cryptographic Provider o Enhanced Cryptographic Provider.

Nota. In Windows NT 4.0 Service Pack 6, il file Schannel. dll non utilizza Microsoft Base DSS Cryptographic Provider (Dssbase.dll) o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh. dll).

Suite di cifratura

Entrambi SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) e TLS 1.0 (RFC2246) con "pacchetto di crittografia a 56 bit esportazione per TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" di bozza INTERNET consentono di utilizzare la suite di cifratura diversi. Ogni pacchetto di crittografia determina la scambio di chiavi, autenticazione, crittografia e MAC (algoritmi) che vengono utilizzati in una sessione SSL/TLS. Viene visualizzata quando si utilizza RSA come scambio di chiavi e algoritmi di autenticazione, il termine RSA solo una volta nelle definizioni di suite di crittografia corrispondente.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider supporta i seguenti definite da SSL 3.0 "CipherSuite" quando si utilizza il Provider di crittografia di Base o Enhanced Cryptographic Provider:
Riduci questa tabellaEspandi questa tabella
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota. NÚ SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA nÚ SSL_RSA_EXPORT1024_WITH_RC4_56_SHA Ŕ definito nel testo di SSL 3.0. Tuttavia, diversi fornitori di SSL 3.0 li supportano. Sono inclusi Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider supporta anche la seguente definizione TLS 1.0 "CipherSuite" quando si utilizza il Microsoft Base Cryptographic Provider oppure Microsoft Enhanced Cryptographic Provider:

Riduci questa tabellaEspandi questa tabella
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota. Un pacchetto di crittografia viene definita con il primo byte "0x00" Ŕ non privati e viene utilizzato per comunicazioni interoperabili aperte. Di conseguenza, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider segue le procedure per l'utilizzo di queste suite di cifratura come specificato in SSL 3.0 e TLS 1.0 in modo da assicurare l'interoperabilitÓ.

Chiavi di registro specifiche di Schannel

Importante Questa sezione, metodo o attivitÓ contiene la procedura per modificare il Registro di sistema. Tuttavia, potrebbero verificarsi seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Nota. Tutte le modifiche al contenuto della chiave di crittografia o la chiave hash effettive immediatamente, senza riavviare il sistema.

Chiave SCHANNEL

Avviare l'Editor del Registro di sistema (Regedt32.exe) e quindi individuare la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Sottochiave SCHANNEL\Protocols

Per consentire al sistema di utilizzare i protocolli non vengono negoziati per impostazione predefinita (ad esempio TLS 1.1 e 1.2 TLS), modificare i dati del valore DWORD del valore DisabledByDefault su 0x0 nelle seguenti chiavi del Registro di sistema nella chiave protocolli:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Avviso. Il valore di DisabledByDefault nelle chiavi del Registro di sistema nella chiave protocolli non hanno la precedenza sul valore del grbitEnabledProtocols definito nella struttura SCHANNEL_CRED che contiene i dati per una credenziale di Schannel.

Sottochiave SCHANNEL\Ciphers

La chiave del Registro di sistema di crittografia a chiave SCHANNEL consente di controllare l'utilizzo di algoritmi simmetrici, quali DES e RC4. Di seguito sono elencate le chiavi del Registro di sistema valido sotto la chiave di crittografia a.
Sottochiave SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Questa sottochiave fa riferimento a RC4 a 128 bit.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In alternativa, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato. Questa chiave del Registro di sistema non si applica a un server esportabile che non dispone di un certificato SGC.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
Sottochiave SCHANNEL\Ciphers\Triple DES 168/168
Triple DES 168

Questa chiave del Registro di sistema fa riferimento a 168 bit Triple DES, come specificato in X9.52 ANSI e bozza FIPS 46-3. Questa chiave del Registro di sistema non si applica alla versione di esportazione.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In alternativa, modificare i dati DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Sottochiave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Questa chiave del Registro di sistema fa riferimento a RC2 a 128 bit. Non si applica alla versione di esportazione.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Sottochiave SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Questa chiave del Registro di sistema fa riferimento a 64-bit RC4. Non si applica alla versione di esportazione (ma viene utilizzato in Microsoft Money).

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Sottochiave SCHANNEL\Ciphers\RC4 56/128
RC4 56/128

Questa chiave del Registro di sistema fa riferimento a 56 bit RC4.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Sottochiave SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Questa chiave del Registro di sistema fa riferimento a RC2 a 56 bit.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Sottochiave SCHANNEL\Ciphers\RC2 56/56

DES 56

Questa chiave del Registro di sistema fa riferimento a 56 bit DES, come specificato in FIPS 46-2. L'implementazione nei file Rsabase. dll e Rsaenh. dll viene convalidato in base al programma FIPS 140-1 crittografia modulo di convalida.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Sottochiave SCHANNEL\Ciphers\RC4 40/128

RC4 40/128

Si riferisce a 40 bit RC4.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Sottochiave SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

Questa chiave del Registro di sistema fa riferimento a RC2 a 40 bit.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0. Se non si configura il valore Enabled, il valore predefinito Ŕ abilitato.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sottochiave SCHANNEL\Ciphers\NULL

NULL

Questa chiave del Registro di sistema non significa Nessuna crittografia. Per impostazione predefinita, essa viene disattivata.

Per disattivare la crittografia (non consentire a tutti gli algoritmi di crittografia), modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0.

Sottochiave SCHANNEL/hash

La chiave hash della chiave SCHANNEL consente di controllare l'utilizzo di algoritmi di hash, ad esempio SHA-1 e MD5. Di seguito sono riportate le chiavi di registro valido sotto la chiave di hash.

Sottochiave SCHANNEL\Hashes\MD5

MD5

Per consentire questo algoritmo di hash, modificare i dati del valore DWORD del valore Enabled per il valore predefinito 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sottochiave SCHANNEL\Hashes\SHA

SHA

Questa chiave del Registro di sistema fa riferimento a Secure Hash Algorithm (SHA-1), come specificato in FIPS 180-1. L'implementazione nei file Rsabase. dll e Rsaenh. dll viene convalidato in base al programma FIPS 140-1 crittografia modulo di convalida.

Per consentire questo algoritmo di hash, modificare i dati del valore DWORD del valore Enabled per il valore predefinito 0xFFFFFFFF. In caso contrario, modificare i dati del valore DWORD 0x0.

Disattivazione in modo efficace questo algoritmo non consente le seguenti operazioni:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Sottochiave SCHANNEL/KeyExchangeAlgorithms

La chiave di registro KeyExchangeAlgorithms nella chiave SCHANNEL consente di controllare l'utilizzo di algoritmi di scambio delle chiavi, ad esempio RSA. Di seguito sono elencate le chiavi di registro valida nella chiave KeyExchangeAlgorithms.

Sottochiave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Questa chiave del Registro di sistema fa riferimento come gli algoritmi di autenticazione e lo scambio chiavi RSA.

Per consentire RSA, modificare i dati del valore DWORD del valore Enabled per il valore predefinito 0xFFFFFFFF. In caso contrario, modificare i dati DWORD 0x0.

Disattivazione efficacemente RSA non ammette basate su RSA SSL e TLS suite di cifratura supportate dal Provider di protezione di Windows NT4 SP6 Microsoft TLS/SSL.

FIPS 140-1 cipher Suite

╚ possibile utilizzare solo tali SSL 3.0 o TLS 1.0 suite di cifratura che corrispondono a FIPS 46-3 o FIPS 46-2 e algoritmi FIPS 180-1 forniti dalla Microsoft Base o Enhanced Cryptographic Provider.

In questo articolo abbiamo farvi riferimento come gruppi di FIPS 140-1 cipher. In particolare, essi sono i seguenti:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Per utilizzare solo FIPS 140-1 cipher Suite come definito di seguito e supportato da Windows NT 4.0 Service Pack 6 TLS/SSL protezione Provider Microsoft Base Cryptographic Provider o Enhanced Cryptographic Provider, configurare i dati del valore DWORD del valore Enabled nelle seguenti chiavi del Registro di sistema per 0x0:
  • 128/128 SCHANNEL\Ciphers\RC4
  • 128/128 SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\RC4 64/128
  • 56/128 SCHANNEL\Ciphers\RC4
  • 56/128 SCHANNEL\Ciphers\RC2
  • 40/128 SCHANNEL\Ciphers\RC4
  • 40/128 SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
E configurare i dati del valore DWORD del valore abilitato nelle seguenti chiavi del Registro di sistema per 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES. 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[non disponibile in versione esportazione]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Calcolo segreto master utilizzando FIPS 140-1 cipher Suite

Le procedure per utilizzare la crittografia FIPS 140-1 a gruppi di SSL 3.0 differiscono da quelle utilizzate per utilizzare i gruppi di FIPS 140-1 cipher in TLS 1.0.

In SSL 3.0, di seguito Ŕ il calcolo di master_secret definizione:

In TLS 1.0, di seguito Ŕ il calcolo di master_secret definizione:

dove:

Selezionando l'opzione per utilizzare solo gruppi di FIPS 140-1 crittografia TLS 1.0:

A causa di questa differenza, Ŕ possibile proibire l'utilizzo di SSL 3.0, anche se l'insieme di suite di cifratura consentito Ŕ limitato al solo un sottoinsieme di FIPS 140-1 cipher Suite. In tal caso, modificare i dati del valore DWORD del valore attivato da 0x0 nelle seguenti chiavi del Registro di sistema nella chiave protocolli:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Avviso. I dati del valore Enabled in queste chiavi del Registro di sistema sotto la chiave di protocolli hanno la precedenza sul valore del grbitEnabledProtocols definito nella struttura SCHANNEL_CRED che contiene i dati per una credenziale di Schannel. ╚ il dato predefinito abilitato 0xFFFFFFFF.

File del Registro di sistema di esempio

In questa sezione dell'articolo vengono forniti due esempi di contenuto del file del Registro di sistema per la configurazione. Sono Export.reg e Non export.reg.

In un computer che esegue Windows NT 4.0 Service Pack 6 con il Rasbase.dll esportabile e i file Schannel. dll, eseguiti Export.reg per assicurarsi che solo TLS 1.0 FIPS cipher gruppi vengono utilizzati dal computer.

In un computer che esegue Windows NT 4.0 Service Pack 6 che include il Rasenh.dll non esportabile e i file Schannel. dll, eseguiti Non export.reg per assicurarsi che solo TLS 1.0 FIPS cipher Suite vengono utilizzati dal computer.

Per il file Schannel. dll riconoscere le modifiche nella chiave del Registro di sistema SCHANNEL, Ŕ necessario riavviare il computer.

Per ripristinare le impostazioni del Registro di sistema per impostazione predefinita, eliminare la chiave del Registro di sistema SCHANNEL e tutti gli elementi sotto di esso. Se queste chiavi del Registro di sistema non sono presenti, il file Schannel. dll consente di ricreare le chiavi quando si riavvia il computer.

ProprietÓ

Identificativo articolo: 245030 - Ultima modifica: mercoledý 11 dicembre 2013 - Revisione: 9.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Chiavi:á
kbenv kbinfo kbmt KB245030 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 245030
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com