特定の暗号化アルゴリズムおよび Schannel.dll のプロトコルの使用を制限する方法

文書翻訳 文書翻訳
文書番号: 245030 - 対象製品
それ以降のバージョンの Windows 用
レジストリ キー、および Windows Server 2008、Windows 7 および Windows Server 2008 R2 では、コンテンツ検索、Windows Server 2003 およびそれ以前のバージョンでは、レジストリ キーから別。Windows 7、Windows Server 2008 と Windows Server 20008 R2 およびその既定の内容には、レジストリの場所は次のとおりです。
[あります]
「EventLogging」dword:00000001 =
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001

標準のレジストリ エディターのエクスポート形式では、このコンテンツが表示されます。

注:
  • 暗号キーを含まない値またはサブキー。
  • CipherSuites キーを含まない値またはサブキー。
  • ハッシュ キーには、含める必要がありますいないサブキーまたは値。
  • KeyExchangeAlgorithms キーを含まない値またはサブキー。
  • 以下のサブキーと値は、プロトコル キーを含める必要があります。
    • プロトコル
      • SSL 2.0
        • クライアント
          • DisabledByDefault REG_DWORD 0x00000001 (値)
Windows Server 2008 では、次のプロトコルをサポートします。
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 および Windows 7 は、次のプロトコルをサポートします。
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
これらのプロトコルは、サーバーまたはクライアントのアーキテクチャを無効化できます。これは、ため、プロトコルを省略または次のように無効にできます。
  • SSL 接続の開始時に、クライアントこんにちはに含まれているサポートされているプロトコルの一覧から、プロトコルを省略できます。
  • SSL 2.0 を要求した場合でも、そのプロトコルを使用して、サーバーが応答されていないように、サーバー上でプロトコルを無効化できます。
クライアントとサーバーのサブキーの各プロトコルを指定します。クライアントまたはサーバーのいずれかのプロトコルを無効にできます。ただし、暗号化、ハッシュ、または CipherSuites を無効にすると、クライアントとサーバーの両方の側面に影響します。場合によっては、これを達成するために、プロトコルのキーの下の必要なサブキーを作成する必要があります。例を示します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
サブキーを作成したら、次のようにレジストリが表示されます。

元に戻す画像を拡大する
2880599


既定では、クライアントの SSL 2.0 は、Windows Server 2008、Windows Server 2008 R2、Windows 7 で無効になります。これは、コンピューターは、クライアントこんにちは開始する SSL 2.0 を使用しないことを意味します。そのため、レジストリが次のように表示されます。

元に戻す画像を拡大する
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001
暗号、KeyExchangeAlgorithms のように正確にプロトコルを有効または無効にできます。その他のプロトコルを無効にするに、プロトコルを無効にし、追加する会話の側を選択します 「有効」= dword:00000000 値です。次の使用例は、クライアントのサーバーとも SSL 2.0 の SSL 2.0 を無効にします。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
「有効」= dword:00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
このアクションを実行するように、後に、サーバーを再起動する必要があります。
すべて展開する | すべて折りたたむ

目次

概要

この資料は、特定の暗号化アルゴリズムおよび Schannel.dll ファイル内のプロトコルの使用を制限する方法について説明します。この情報は、マイクロソフト暗号化 API (CAPI) 用に記述されている独立系ソフトウェア ベンダー (ISV) のアプリケーションにも適用されます。

メモ Windows Server 2008 とそれ以降のバージョンの Windows に適用されるレジストリ キー、"それ以降のバージョンの Windows では」のセクションを参照してください。

詳細

次の暗号サービス プロバイダー (Csp) が Windows NT 4.0 の Service Pack 6 に含まれている証明書の賞を受賞しました FIPS 140-1 暗号化検証:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft 拡張暗号化プロバイダー (Rsaenh.dll) (非エクスポート バージョン)
マイクロソフトの TLS と SSL セキュリティ プロバイダー、Schannel.dll ファイルを Internet Explorer とインターネット インフォメーション サービス (IIS) のサポートに SSL または TLS 経由でセキュリティで保護された通信を行うには、ここに記載されている Csp を使用します。

暗号スイート 1 および 2 をサポートする、Schannel.dll ファイルを変更することができます。ただし、プログラムも暗号スイート 1 および 2 をサポートしなければなりません。Cipher Suite 1 および 2 は、IIS 4.0 および 5.0 ではサポートされません。

この資料には、TLS と SSL セキュリティ プロバイダーを Windows NT 4.0 Service Pack 6 およびそれ以降のバージョンを構成するのには、必要な情報が含まれています。特定 SSL 3.0 または TLS 1.0 暗号についてベースの暗号化サービス プロバイダー、または、拡張暗号化プロバイダーによってサポートされている暗号化アルゴリズムの使用を制御するには、Windows のレジストリを使用できます。

メモ Windows NT 4.0 Service Pack 6 で Microsoft Base DSS 暗号化プロバイダー (Dssbase.dll) または Microsoft DS が Diffie-hellman 拡張暗号化プロバイダー (Dssenh.dll)、Schannel.dll ファイルは使用されません。

暗号スイート

両方の SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) インターネット ドラフトの「56 ビット エクスポート暗号の TLS draft-ietf-tls-56-bit-ciphersuites-00.txt」では、TLS 1.0 (RFC2246) 別の暗号スイートを使用するオプションを提供します。各暗号キー交換、認証、暗号化、および SSL や TLS セッションで使用される MAC アルゴリズムを決定します。キーの交換と認証アルゴリズムとして RSA を使用すると、用語RSAが対応する暗号スイート定義に 1 つだけの時間に注意してください。

ベースの暗号化サービス プロバイダー、または、拡張暗号化プロバイダーを使用すると、Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダーは、次 SSL 3.0 で定義されている「CipherSuite」をサポートします。
元に戻す全体を表示する
SSL_RSA_EXPORT_WITH_RC4_40_MD5{ 0x00,0x03 }
SSL_RSA_WITH_RC4_128_MD5{0x00、0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00、0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00、0x06}
SSL_RSA_WITH_DES_CBC_SHA{ 0x00,0x09 }
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00、0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{ 0x00,0x62 }
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00、どちらも 0x64}
メモ SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA も SSL_RSA_EXPORT1024_WITH_RC4_56_SHA は、SSL 3.0 のテキストで定義されます。ただし、SSL 3.0 のいくつかのベンダーをサポートしています。これはマイクロソフトが含まれます。

Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダーは、Microsoft ベース暗号化プロバイダーまたは Microsoft 拡張暗号化プロバイダーを使用すると、次 TLS 1.0 で定義されている「CipherSuite」をもサポートします。

元に戻す全体を表示する
TLS_RSA_EXPORT_WITH_RC4_40_MD5{ 0x00,0x03 }
TLS_RSA_WITH_RC4_128_MD5{0x00、0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00、0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00、0x06}
TLS_RSA_WITH_DES_CBC_SHA{ 0x00,0x09 }
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00、0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{ 0x00,0x62 }
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00、どちらも 0x64}
メモ 暗号スイートの最初のバイト"0x00"で定義されているは非プライベートあり開いて相互運用可能な通信に使用します。したがって、Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダーには SSL 3.0 および TLS 1.0 で指定されているこれらの暗号スイートを使用して、相互運用性を確実にするための手順に従います。

Schannel 固有のレジストリ キー

重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、この手順を慎重に実行するようにしてください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合でもレジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
メモ 暗号キー、またはハッシュ キーの内容を変更、システムを再起動しなくてもすぐに有効になります。

SCHANNEL キー

レジストリ エディター (Regedt32.exe) を起動し、次のレジストリ キーを探します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols サブキー

プロトコル (TLS 1.1 および TLS 1.2) など、既定ではネゴシエーションされませんを使用するシステムを有効にするのにはDisabledByDefault値の DWORD 値のデータを0x0次のレジストリ キー、プロトコルのキーの下に変更します。
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
警告プロトコルのキーの下のレジストリ キーの DisabledByDefault 値は、Schannel の資格情報のデータを格納する SCHANNEL_CRED 構造体で定義されている grbitEnabledProtocols の値で優先されません。

SCHANNEL\Ciphers サブキー

SCHANNEL キーの下には、暗号レジストリ キーは、DES、RC4 などの対称アルゴリズムの使用を制御する使用されます。暗号キーの下の有効なレジストリ キーを次に示します。
SCHANNEL\Ciphers\RC4 128/128 サブキー
RC4 128/128

このサブキーは 128 -bit RC4 を指します。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。このレジストリ キーは、SGC 証明書がエクスポート可能なサーバーには適用されません。

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 サブキー
Triple DES 168

このレジストリ キーは、ANSI X9.52 とドラフト FIPS 46-3 で指定されているトリプル DES を 168 ビットを示します。このレジストリ キーは、エクスポートのバージョンには適用されません。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.または、DWORD データの変更 0x0.有効値を構成しない場合は、既定値は有効です。

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 サブキー
RC2 128/128

このレジストリ キーは、128 ビット RC2 を指します。エクスポートのバージョンには適用されません。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

SCHANNEL\Ciphers\RC4 64/128 サブキー
RC4 64/128

このレジストリ キーは、64 ビットの RC4 を指します。エクスポート バージョンには適用されません (それは、Microsoft Money で使用)。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

SCHANNEL\Ciphers\RC4 56/128 サブキー
RC4 56/128

このレジストリ キーは 56 ビットの RC4 を指します。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 サブキー
RC2 56/128

このレジストリ キーは 56 ビット RC2 を指します。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

SCHANNEL\Ciphers\RC2 56/56 サブキー

DES 56

このレジストリ キーは 56 ビットの DES FIPS 46-2 で指定されているを指します。そのためおよび Rsaenh.dll ファイルの実装は FIPS 140-1 暗号化モジュール検証プログラムの下で検証されます。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 サブキー

RC4 40/128

これは、40 ビットの RC4 を指します。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 サブキー

RC2 40/128

このレジストリ キーは 40 ビット RC2 を指します。

この暗号アルゴリズムには、有効値の DWORD 値のデータを変更します 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.有効値を構成しない場合は、既定値は有効です。

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL サブキー

NULL

このレジストリ キーの暗号化がないことを意味します。既定ではになります。

暗号化を無効にする (すべての暗号アルゴリズムを禁止する)、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.

SCHANNEL/ハッシュのサブキー

Sha-1 や MD5 などのハッシュ アルゴリズムの使用を制御するには、SCHANNEL キーの下で、ハッシュのレジストリ キーが使用されます。ハッシュ キーの下の有効なレジストリ キーを次に示します。

SCHANNEL\Hashes\MD5 サブキー

MD5

このハッシュ アルゴリズムには、有効値の DWORD 値のデータの既定値を変更します。 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA サブキー

SHA

このレジストリ キーは、FIPS 180-1 に示すセキュア ハッシュ アルゴリズム (sha-1) を参照します。そのためおよび Rsaenh.dll ファイルの実装は FIPS 140-1 暗号化モジュール検証プログラムの下で検証されます。

このハッシュ アルゴリズムには、有効値の DWORD 値のデータの既定値を変更します。 0 xffffffff.それ以外の場合は、DWORD 値のデータを変更します。 0x0.

このアルゴリズムを効果的に無効にすると、次を禁止します。
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms サブキー

RSA などのキー交換アルゴリズムの使用を制御するには、SCHANNEL キーの下に、KeyExchangeAlgorithms レジストリ キーが使用されます。KeyExchangeAlgorithms キーの下の有効なレジストリ キーを次に示します。

SCHANNEL\KeyExchangeAlgorithms\PKCS サブキー
PKCS

このレジストリ キーは、キーの交換と認証アルゴリズムとして RSA を参照します。

RSA には、有効値の DWORD 値のデータの既定値を変更します。 0 xffffffff.それ以外の場合は、DWORD データを変更するには 0x0.

すべての RSA ベース SSL および TLS 暗号スイート Windows NT4 SP6 Microsoft TLS と SSL セキュリティ プロバイダーでサポートされている RSA を効果的に無効にする無効にします。

FIPS 140-1 暗号スイート

のみ、SSL 3.0 または TLS 1.0 暗号 FIPS 46-3 または FIPS 46-2 と Microsoft ベースまたは拡張の暗号化サービス プロバイダーによって提供される FIPS 180-1 のアルゴリズムに対応するを使用することができます。

この記事では、私たちを参照してくださいに FIPS 140-1 暗号スイートとします。具体的は次のようになります。
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
ここだけの FIPS 140-1 暗号スイート定義で使用し、Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダー ベースの暗号化プロバイダーと、拡張暗号化プロバイダーでサポートされている、次のレジストリ キーを有効値の DWORD 値のデータを構成するには 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
有効値の DWORD 値のデータを構成するのには、次のレジストリ キーで、 0 xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168」[エクスポート バージョンには適用しない]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 暗号スイートを使用してマスター シークレットの計算

FIPS 140-1 暗号スイートで SSL 3.0 と TLS 1.0 で FIPS 140-1 暗号スイートを使用するための手順は異なるを使用するための手順です。

SSL 3.0 では、次は、定義の master_secret の計算です。

TLS 1.0 では、次は、定義の master_secret の計算です。

条件:

TLS 1.0 でのみの FIPS 140-1 暗号スイートを使用するオプションを選択します。

このため、ユーザーは暗号スイートの許容セットが FIPS 140-1 暗号スイートのサブセットのみに制限されていても、SSL 3.0 の使用を禁止するか。その場合は、有効値の DWORD 値のデータを変更します。 0x0 で、プロトコルのキーの下の次のレジストリ キー。
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
警告これらのプロトコルのキーの下のレジストリ キーで有効、値のデータは、Schannel の資格情報のデータを格納する SCHANNEL_CRED 構造体で定義されている grbitEnabledProtocols 値よりも優先されます。有効値の既定データが 0 xffffffff.

レジストリ ファイルの例

2 つの構成のレジストリ ファイルの内容の例は、資料のこのセクションで提供されます。Export.reg と非 export.reg です。

コンピューターにエクスポート可能な Rasbase.dll を持つ Windows NT 4.0 の Service Pack 6 実行しているし、Schannel.dll ファイルを Export.reg のみ TLS 1.0 の FIPS 暗号化スイートであるかどうかを確認するを実行するコンピューターで使用します。

エクスポート可能ではない、Rasenh.dll を含む Windows NT 4.0 の Service Pack 6 を実行しているコンピューターでと実行のみ TLS 1.0 の FIPS 暗号化スイートであるかどうかを確認するには、非-export.reg、Schannel.dll ファイルは、コンピューターで使用します。

SCHANNEL レジストリ キーの下のすべての変更を認識するように、Schannel.dll ファイルはコンピューターを再起動する必要があります。

レジストリ設定を既定値に戻すには、するには、SCHANNEL レジストリ キーとその下のすべてを削除します。これらのレジストリ キーが存在しない場合は、コンピューターを再起動すると、Schannel.dll、キー再構築します。

プロパティ

文書番号: 245030 - 最終更新日: 2013年12月11日 - リビジョン: 19.0
この資料は以下の製品について記述したものです。
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
キーワード:?
kbenv kbinfo kbmt KB245030 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:245030
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com