Como restringir a utilização de determinados algoritmos criptográficos e os protocolos do Schannel. dll

Traduções de Artigos Traduções de Artigos
Artigo: 245030 - Ver produtos para os quais este artigo se aplica.
Para versões posteriores do Windows
As chaves de registo e respectivo conteúdo no Windows Server 2008, Windows 7 e Windows Server 2008 R2 parecer diferentes chaves de registo no Windows Server 2003 e versões anteriores. A localização de registo no Windows 7, Windows Server 2008 e Windows Server R2 de 20008 e conteúdos predefinidos são os seguintes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

Este conteúdo é apresentado no formato de exportação padrão do REGEDIT.

Notas
  • A chave de cifras deve conter sem valores ou subchaves.
  • A chave de criptografia deve conter sem valores ou subchaves.
  • A chave de Hashes deve conter sem valores ou subchaves.
  • A chave de KeyExchangeAlgorithms deve conter sem valores ou subchaves.
  • A chave de protocolos deverá conter as seguintes subchaves e valor:
    • Protocolos
      • SSL 2.0
        • Cliente
          • DisabledByDefault REG_DWORD 0x00000001 (valor)
Windows Server 2008 suporta os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 e Windows 7 suporta os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Estes protocolos podem ser desactivados para o servidor ou a arquitectura de cliente. Isto significa que o protocolo pode ser omitido ou desactivado da seguinte forma:
  • O protocolo pode ser omitido da lista de protocolos suportados que estão incluídos no cliente Olá quando uma ligação SSL é iniciada.
  • O protocolo pode ser desactivado no servidor para que o servidor não irá responder utilizando esse protocolo, mesmo que um cliente pede SSL 2.0.
As subchaves de cliente e servidor designar cada protocolo. Pode desactivar um protocolo para o cliente ou o servidor. No entanto, a desactivação de cifras, Hashes ou criptografia afecta os lados do cliente e servidor. Tem de criar as subchaves necessárias dentro da chave de protocolos para atingir esse objectivo. Por exemplo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Depois de criadas, as subchaves de registo é apresentado da seguinte forma:

Reduzir esta imagemExpandir esta imagem
2880599


Por predefinição, o cliente SSL 2.0 está desactivado no Windows Server 2008, Windows Server 2008 R2 e Windows 7. Isto significa que o computador não irá utilizar SSL 2.0 para iniciar um cliente Olá. Por conseguinte, o registo é apresentado da seguinte forma:

Reduzir esta imagemExpandir esta imagem
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
Exactamente como as codificações e KeyExchangeAlgorithms, os protocolos podem ser activados ou desactivados. Para desactivar outros protocolos, seleccione o lado da conversação para o qual pretende desactivar o protocolo e, em seguida, adicione o "Activado" = dword: 00000000 valor. O seguinte exemplo desactiva o SSL 2.0 para o servidor e também a SSL 2.0 para o cliente.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Activado" = dword: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Depois de executar esta acção, tem de reiniciar o servidor.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como restringir a utilização de determinados algoritmos criptográficos e protocolos no ficheiro Schannel. dll.Estas informações também se aplica a aplicações de fornecedor (ISV) independentes de software que são escritas para o Microsoft CAPI (Cryptographic API).

Nota Para chaves de registo que se aplicam ao Windows Server 2008 e versões posteriores do Windows, consulte a secção "para versões posteriores do Windows".

Mais Informação

Os seguintes fornecedores de serviços criptográficos (CSPs) que estão incluídos no Windows NT 4.0 Service Pack 6 foram emitidos os certificados para Validação de criptografia FIPS-140-1:
  • Fornecedor de criptografia Base da Microsoft (Rsabase. dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh. dll) (versão de não-export)
Microsoft TLS/SSL Security Provider, o ficheiro Schannel. dll, utiliza os CSPs que estão listados aqui, a conduta comunicações seguras através de SSL ou TLS no respectivo suporte para o Internet Explorer e serviços de informação Internet (IIS).

Pode alterar o ficheiro Schannel. dll para suportar o conjunto de cifras 1 e 2. No entanto, o programa também tem de suportar o conjunto de cifras 1 e 2. Conjunto de cifras 1 e 2 não são suportadas no IIS 4.0 e 5.0.

Este artigo contém as informações necessárias para configurar o TLS/SSL Security Provider para Windows NT 4.0 Service Pack 6 e versões posteriores. Pode utilizar o registo do Windows para controlar a utilização dos conjuntos específicos de cifras de SSL 3.0 ou TLS 1.0 no que respeita os algoritmos criptográficos que são suportados pelo fornecedor criptográfico Base ou o Enhanced Cryptographic Provider.

Nota No Windows NT 4.0 Service Pack 6, o ficheiro Schannel. dll não utiliza o Microsoft Base DSS Cryptographic Provider (Dssbase) ou o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh. dll).

Conjuntos de cifras

Ambos os SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/nss/SSL/draft302.txt) e TLS 1.0 (RFC2246) com o rascunho da INTERNET "56 bits conjuntos de cifras de exportação para draft-ietf-tls-56-bit-ciphersuites-00.txt TLS" fornecem opções a utilizar conjuntos de cifras diferentes. Cada conjunto de cifras determina a troca de chaves, autenticação, encriptação e algoritmos de MAC que são utilizados numa sessão de SSL/TLS. Repare que quando utiliza o RSA como os algoritmos de autenticação e troca de chaves, o termo RSA aparece apenas uma vez nas definições do conjunto de cifra correspondentes.

O Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider suporta o seguinte definidas pelo SSL 3.0 "CipherSuite" quando utiliza o fornecedor de criptografia Base ou o Enhanced Cryptographic Provider:
Reduzir esta tabelaExpandir esta tabela
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota Não SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA nem SSL_RSA_EXPORT1024_WITH_RC4_56_SHA está definido no texto do SSL 3.0. Contudo, vários fornecedores de SSL 3.0 suportam-los. Isto inclui Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider também suporta o seguinte definidas pelo TLS 1.0 "CipherSuite" quando utiliza o Microsoft Base Cryptographic Provider ou o Microsoft Enhanced Cryptographic Provider:

Reduzir esta tabelaExpandir esta tabela
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota Um conjunto de cifra que é definido utilizando o primeiro byte "0x00" é não privados e é utilizado para comunicações interoperáveis abertas. Por conseguinte, o Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider segue os procedimentos para utilizar estes conjuntos de cifras tal como especificado no SSL 3.0 e o TLS 1.0 para se certificar da interoperabilidade.

Chaves de registo específicas Schannel

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
Nota Quaisquer alterações ao conteúdo das teclas de CIFRAS ou HASHES têm efeito imediato, sem reiniciar o sistema.

Chave SCHANNEL

Inicie o Editor de registo (Regedt32.exe) e, em seguida, localize a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Subchave SCHANNEL\Protocols

Para activar o sistema para utilizar os protocolos que não serão negociados por predefinição (como TLS 1.1 e TLS 1.2), altere os dados do valor DWORD do valor DisabledByDefault para 0x0 nas seguintes chaves do registo na chave de protocolos:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Aviso O valor de DisabledByDefault nas chaves de registo na chave de protocolos não têm precedência sobre o valor de grbitEnabledProtocols que está definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial de Schannel.

Subchave SCHANNEL\Ciphers

A chave de registo de cifras sob a chave SCHANNEL é utilizada para controlar a utilização de algoritmos simétricos como DES e RC4. Seguem-se as chaves de registo válidas na chave de cifras.
Subchave SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Esta subchave refere-se RC4 a 128 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Ou, alterar os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado. Esta chave de registo não é aplicável a um servidor exportável que não tem um certificado do SGC.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 subchave
Triplo DES 168

Esta chave de registo refere-se a 168 bits Triple DES, tal como especificado no X9.52 de ANSI e rascunho FIPS 46-3. Esta chave de registo não é aplicável para a versão de exportação.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Ou, alterar os dados DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Subchave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Esta chave de registo refere-se RC2 de 128 bits. Não é aplicável para a versão de exportação.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Subchave SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Esta chave de registo refere-se RC4 de 64 bits. Não se aplica para a versão de exportação (mas é utilizado no Microsoft Money).

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Subchave SCHANNEL\Ciphers\RC4 56/128
RC4 56/128

Esta chave de registo refere-se RC4 de 56 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Subchave SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Esta chave de registo refere-se RC2 de 56 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Subchave SCHANNEL\Ciphers\RC2 56/56

DES DE 56

Esta chave de registo refere-se como DES de 56 bits tal como especificado no FIPS 46-2. Sua aplicação nos ficheiros Rsabase. dll e Rsaenh. dll é validada em que o programa de validação de módulo criptográfico do FIPS 140-1.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Subchave de SCHANNEL\Ciphers\RC4. o 40/128

RC4 40/128

Trata-se RC4 a 40 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Subchave de SCHANNEL\Ciphers\RC2. o 40/128

RC2 40/128

Esta chave de registo refere-se RC2 de 40 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Ciphers\NULL

NULL

Esta chave de registo significa sem encriptação. Por predefinição, este está desactivado.

Para desactivar a encriptação (não permitir todos os algoritmos de encriptação), alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Subchave SCHANNEL/Hashes

A chave de registo de Hashes na chave de SCHANNEL é utilizada para controlar a utilização de algoritmos hash como SHA-1 e MD5. Seguem-se as chaves de registo válidas na chave de Hashes.

Subchave SCHANNEL\Hashes\MD5

MD5

Para permitir que este algoritmo hashing, alterar os dados do valor DWORD do valor activado para o valor predefinido 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Hashes\SHA

SHA

Esta chave de registo refere-se para o algoritmo Hash seguro (SHA-1), tal como especificado no FIPS 180-1. Sua aplicação nos ficheiros Rsabase. dll e Rsaenh. dll é validada em que o programa de validação de módulo criptográfico do FIPS 140-1.

Para permitir que este algoritmo hashing, alterar os dados do valor DWORD do valor activado para o valor predefinido 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subchave SCHANNEL/KeyExchangeAlgorithms

A chave de registo KeyExchangeAlgorithms na chave de SCHANNEL é utilizada para controlar a utilização de algoritmos de troca de chaves, tal como RSA. Seguem-se as chaves de registo válidas na chave KeyExchangeAlgorithms.

Subchave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Esta chave de registo refere-se o RSA como os algoritmos de troca e autenticação de chaves.

Para permitir que o RSA, alterar os dados do valor DWORD do valor activado para o valor predefinido 0xFFFFFFFF. Caso contrário, altere os dados DWORD 0x0.

Desactivar efectivamente RSA não permite a todos os baseados em RSA SSL e TLS conjuntos de cifras suportados pelo Microsoft TLS/SSL Security Provider Windows NT4 SP6.

FIPS 140-1 cipher suites

Poderá utilizar apenas esses SSL 3.0 ou TLS 1.0 conjuntos de cifras que correspondem ao FIPS 46-3 ou FIPS 46-2 e algoritmos de 180-1 FIPS fornecidos pelo Microsoft Base Enhanced Cryptographic Provider.

Neste artigo, designamos-los FIPS 140-1 cipher suites. Especificamente, são os seguintes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Para utilizar apenas o FIPS 140-1 cipher suites definidos aqui e suportados pelo Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider com o fornecedor de criptografia Base ou o Enhanced Cryptographic Provider, configurar os dados do valor DWORD do valor activado nas seguintes chaves do registo para 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • 64/128 De SCHANNEL\Ciphers\RC4
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4. o 40/128
  • SCHANNEL\Ciphers\RC2. o 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
E configurar os dados do valor DWORD do valor activado nas seguintes chaves do registo para 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[não aplicável na exportação versão]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Cálculo secreto principal utilizando o FIPS 140-1 cipher suites

Os procedimentos para utilizar a cifra de 140-1 FIPS conjuntos SSL 3.0 diferem os procedimentos para utilizar os conjuntos de cifras de 140-1 de FIPS em TLS 1.0.

No SSL 3.0, segue-se o cálculo de master_secret definição:

TLS 1.0, segue-se o cálculo de master_secret definição:

no caso de:

Seleccionar a opção para utilizar apenas o FIPS 140-1 cipher suites TLS 1.0:

Devido a esta diferença, os clientes poderão pretender proibir a utilização de SSL 3.0, mesmo que o conjunto permitido de conjuntos de cifras está limitado a apenas o subconjunto de FIPS 140-1 cipher suites. Nesse caso, alterar os dados do valor DWORD do valor activado a 0x0 nas seguintes chaves do registo na chave de protocolos:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Aviso Os dados do valor activado destas chaves de registo na chave de protocolos tem precedência sobre o valor de grbitEnabledProtocols que está definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial de Schannel. Os dados de valor predefinido activado 0xFFFFFFFF.

Ficheiros de registo de exemplo

Dois exemplos de conteúdo do ficheiro de registo de configuração são fornecidos nesta secção deste artigo. São Export.reg e não-export.reg.

Num computador que esteja a executar Windows NT 4.0 Service Pack 6 com o Rasbase.dll exportável e ficheiros Schannel. dll, executados Export.reg para se certificar de que apenas o TLS 1.0 FIPS cipher suites são utilizados pelo computador.

Num computador que esteja a executar o Windows NT 4.0 Service Pack 6 que inclua o Rasenh.dll não é possível exportar e ficheiros Schannel. dll, executados não-export.reg para se certificar de que apenas o TLS 1.0 FIPS cipher suites são utilizados pelo computador.

Para o ficheiro Schannel. dll reconhecer as alterações na chave de registo SCHANNEL, tem de reiniciar o computador.

Para repor as definições de registo predefinido, elimine a chave de registo SCHANNEL e tudo abaixo dele. Se não existirem estas chaves de registo, o Schannel. dll reconstrói as chaves quando reiniciar o computador.

Propriedades

Artigo: 245030 - Última revisão: 11 de dezembro de 2013 - Revisão: 9.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbenv kbinfo kbmt KB245030 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 245030

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com