Como restringir o uso de determinados algoritmos criptográficos e protocolos no Schannel. dll

Traduções deste artigo Traduções deste artigo
ID do artigo: 245030 - Exibir os produtos aos quais esse artigo se aplica.
Para versões posteriores do Windows
As chaves do registro e seu conteúdo no Windows Server 2008, Windows 7 e Windows Server 2008 R2 parecem diferentes das chaves do registro no Windows Server 2003 e versões anteriores. O local do registro no Windows 7, Windows Server 2008 e Windows Server R2 de 20008 e conteúdo padrão são as seguintes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Esse conteúdo é exibido no formato de exportação padrão do REGEDIT.

Anotações
  • A chave de codificações deve não contêm valores ou subchaves.
  • A chave de conjuntos de codificação deve não contêm valores ou subchaves.
  • A chave de hash deve não contêm valores ou subchaves.
  • A chave KeyExchangeAlgorithms deve não contêm valores ou subchaves.
  • A chave de protocolos deve conter as seguintes subchaves e valor:
    • Protocolos
      • SSL 2.0
        • Cliente
          • DisabledByDefault REG_DWORD 0x00000001 (valor)
Windows Server 2008 suporta os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 e Windows 7 suportam os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Esses protocolos podem ser desabilitados para a arquitetura de cliente ou servidor. Isso significa que o protocolo pode ser omitido ou desabilitado da seguinte maneira:
  • O protocolo pode ser omitido da lista de protocolos suportados que estão incluídos no cliente Hello quando uma conexão SSL é iniciada.
  • O protocolo pode ser desativado no servidor para que o servidor não responderá usando esse protocolo, mesmo que um cliente solicite o SSL 2.0.
As subchaves de cliente e servidor designar cada protocolo. Você pode desativar um protocolo para o cliente ou o servidor. No entanto, a desativação codificações, Hashes ou conjuntos de codificação afeta lados de cliente e servidor. Você teria que criar as subchaves necessárias sob a chave de protocolos para esse fim. Por exemplo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Após as subchaves são criadas, o registro é exibido da seguinte maneira:

Recolher esta imagemExpandir esta imagem
2880599


Por padrão, o cliente SSL 2.0 está desabilitado no Windows Server 2008, Windows Server 2008 R2 e Windows 7. Isso significa que o computador não usar SSL 2.0 para iniciar um cliente Hello. Portanto, o registro será exibido da seguinte maneira:

Recolher esta imagemExpandir esta imagem
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Exatamente como codificações e KeyExchangeAlgorithms, os protocolos podem ser ativados ou desativados. Para desabilitar outros protocolos, selecione o lado da conversação para o qual você deseja desativar o protocolo e, em seguida, adicionar a "Ativado" = DWORD: 00000000 valor. O exemplo a seguir desativa o SSL 2.0 para o servidor e também o SSL 2.0 para o cliente.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Ativado" = DWORD: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Depois de executar essa ação, você precisa reiniciar o servidor.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como restringir o uso de determinados algoritmos criptográficos e protocolos no arquivo Schannel dll.Essas informações também se aplica a aplicativos de ISV (fornecedor) de software independentes que são escritos para Microsoft Cryptographic API (CAPI).

Observação Para chaves do registro que se aplicam ao Windows Server 2008 e versões posteriores do Windows, consulte a seção "para versões posteriores do Windows".

Mais Informações

Os seguintes provedores de serviços de criptografia (CSPs) que estão incluídos no Windows NT 4.0 Service Pack 6 foram concedidos certificados para Validação de criptografia FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase. dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh. dll) (versão de exportação não)
Microsoft TLS/SSL Security Provider, o arquivo Schannel dll, usa os CSPs listados aqui para conduzir uma comunicação segura sobre SSL ou TLS no seu suporte para Internet Explorer e o Internet Information Services (IIS).

Você pode alterar o arquivo Schannel dll para oferecer suporte ao conjunto de codificação 1 e 2. No entanto, o programa também deve suportar o conjunto de codificação 1 e 2. Conjunto de codificação 1 e 2 não são suportados no IIS 4.0 e 5.0.

Este artigo contém as informações necessárias para configurar o TLS/SSL Security Provider para Windows NT 4.0 Service Pack 6 e versões posteriores. Você pode usar o registro do Windows para controlar o uso do específicos conjuntos de codificação de SSL 3.0 ou TLS 1.0 com respeito os algoritmos criptográficos que são suportados pelo provedor criptográfico Base ou Enhanced Cryptographic Provider.

Observação No Windows NT 4.0 Service Pack 6, o arquivo Schannel dll não usa o Microsoft Base DSS Cryptographic Provider (Dssbase.dll) ou o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (dssenh. dll).

Conjuntos de codificação

Tanto SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) e TLS 1.0 (RFC2246) com a INTERNET-rascunho "56 bits conjuntos de codificação de exportação para TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" fornecem opções para usar conjuntos de codificação diferentes. Cada conjunto de codificação determina a troca de chaves, autenticação, criptografia e algoritmos de MAC são usados em uma sessão SSL/TLS. Observe que quando você usar RSA como algoritmos de autenticação e troca de chaves, o termo RSA aparece apenas uma vez nas definições de conjunto de codificação correspondente.

O Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider suporta a seguir definidas pelo SSL 3.0 "CipherSuite" quando você usa o provedor de criptografia Base ou Enhanced Cryptographic Provider:
Recolher esta tabelaExpandir esta tabela
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Observação Nem SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA nem SSL_RSA_EXPORT1024_WITH_RC4_56_SHA é definido no texto do SSL 3.0. No entanto, vários fornecedores de SSL 3.0 suportá-los. Isso inclui o Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider também suporta o seguinte definido TLS 1.0 "CipherSuite" quando você usar o Microsoft Base Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider:

Recolher esta tabelaExpandir esta tabela
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Observação Um conjunto de codificação que é definido usando-se o primeiro byte "0x00" é não-particular e é usado para comunicação interoperável aberta. Portanto, o Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider segue os procedimentos para usar esses conjuntos de cifras conforme especificado no SSL 3.0 e TLS 1.0 para certificar-se de interoperabilidade.

Chaves de registro específicas do schannel

Importante Nesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o Registro incorretamente. Portanto, certifique-se de que segue estes passos cuidadosamente. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
Observação Qualquer alteração no conteúdo de tecla a CODIFICAÇÕES ou HASHES terá efeito imediatamente, sem uma reinicialização do sistema.

Chave SCHANNEL

Inicie o Editor do registro (Regedt32.exe) e, em seguida, localize a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Subchave SCHANNEL\Protocols

Para ativar o sistema para usar os protocolos que não serão negociados por padrão (como o TLS 1.1 e o TLS 1.2), altere os dados do valor DWORD do valor DisabledByDefault para 0x0 nas seguintes chaves do registro sob a chave de protocolos:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Aviso O valor DisabledByDefault nas chaves do registro sob a chave de protocolos não têm precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial Schannel.

Subchave SCHANNEL\Ciphers

A chave de registro de codificações sob a chave SCHANNEL é usada para controlar o uso de algoritmos simétricos como o DES e o RC4. A seguir estão as chaves de registro válido sob a chave de codificações.
Subchave SCHANNEL\Ciphers\RC4 128/128
RC4 DE 128/128

Essa subchave refere-se ao RC4 de 128 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Ou, alterar os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado. Essa chave do registro não se aplica a um servidor exportável que não tem um certificado SGC.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
Subchave SCHANNEL\Ciphers\Triple DES 168/168
DES triplo 168

Essa chave do registro se refere ao DES triplo de 168 bits conforme especificado em ANSI X9.52 e rascunho FIPS 46-3. Essa chave do registro não é aplicável para a versão de exportação.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Ou, altere os dados DWORD 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Subchave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Essa chave do registro refere-se ao RC2 de 128 bits. Ela não é aplicada para a versão de exportação.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Subchave SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Essa chave do registro se refere ao RC4 de 64 bits. Ele não se aplica à versão de exportação (mas é usado no Microsoft Money).

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Subchave de 56/128 SCHANNEL\Ciphers\RC4
RC4 DE 128/56

Essa chave do registro se refere ao RC4 de 56 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Subchave de 56/128 SCHANNEL\Ciphers\RC2
RC2 56/128

Essa chave do registro refere-se ao RC2 de 56 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Subchave de 56/56 SCHANNEL\Ciphers\RC2

DES DE 56

Essa chave do registro se refere a DES de 56 bits conforme especificado no FIPS 46-2. Sua implementação nos arquivos Rsabase. dll e Rsaenh. dll é validada sob o programa de validação FIPS 140-1 criptografia módulo.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Subchave SCHANNEL\Ciphers\RC4 40/128

RC4 DE 40/128

Refere-se ao RC4 de 40 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Subchave SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

Essa chave do registro refere-se ao RC2 de 40 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Ciphers\NULL

NULO

Essa chave do registro significa sem criptografia. Por padrão, ela está desativada.

Para desativar a criptografia (impedir que todos os algoritmos de codificação), alterar os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Subchave SCHANNEL/Hashes

A chave de registro Hashes sob a chave SCHANNEL é usada para controlar o uso de algoritmos de hash como o SHA-1 e MD5. A seguir estão as chaves de registro válido sob a chave de Hashes.

Subchave SCHANNEL\Hashes\MD5

MD5

Para permitir que esse algoritmo de hash, altere os dados do valor DWORD do valor de Enabled para o valor padrão 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Hashes\SHA

SHA

Essa chave do registro refere-se ao algoritmo de Hash seguro (SHA-1), conforme especificado no FIPS 180-1. Sua implementação nos arquivos Rsabase. dll e Rsaenh. dll é validada sob o programa de validação FIPS 140-1 criptografia módulo.

Para permitir que esse algoritmo de hash, altere os dados do valor DWORD do valor de Enabled para o valor padrão 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subchave SCHANNEL/KeyExchangeAlgorithms

A chave de registro KeyExchangeAlgorithms sob a chave SCHANNEL é usada para controlar o uso de algoritmos de troca de chaves como RSA. A seguir estão as chaves de registro válido sob a chave KeyExchangeAlgorithms.

Subchave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Essa chave do registro se refere a RSA como os algoritmos de troca e a autenticação de chave.

Para permitir que a RSA, altere os dados do valor DWORD do valor de Enabled para o valor padrão 0xFFFFFFFF. Caso contrário, altere os dados DWORD 0x0.

Desativar RSA efetivamente proíbe todos baseados em RSA SSL e TLS conjuntos de codificação suportados pelo Windows NT4 SP6 Microsoft TLS/SSL Security Provider.

FIPS 140-1 cipher suites

Convém usar somente esses SSL 3.0 ou TLS 1.0 conjuntos de codificação que correspondem ao FIPS 46-3 ou FIPS 46-2 e algoritmos de 180-1 FIPS fornecidos pelo Microsoft Base ou Enhanced Cryptographic Provider.

Neste artigo, nós nos referimos a eles como FIPS 140-1 cipher suites. Especificamente, elas são da seguinte maneira:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Usar somente o FIPS 140-1 cipher suites conforme definido aqui e suportado pelo Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider com Base Cryptographic Provider ou com o provedor de criptografia avançada, configurar os dados do valor DWORD do valor de ativado nas seguintes chaves do registro para 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • 56/128 SCHANNEL\Ciphers\RC4
  • 56/128 SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
E configure os dados do valor DWORD do valor de ativado nas seguintes chaves do registro para 0xFFFFFFFF:
  • 56/56 SCHANNEL\Ciphers\DES
  • SCHANNEL\Ciphers\Triple DES 168/168 "[não é aplicável na versão de exportação]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Computação segreda mestre usando FIPS 140-1 cipher suites

Os procedimentos para usar a codificação de 140-1 FIPS suites no SSL 3.0 diferem dos procedimentos para usar as FIPS 140-1 cipher suítes em TLS 1.0.

SSL 3.0, a seguir está a computação de master_secret definição:

TLS 1.0, o seguinte é a computação de master_secret definição:

onde:

Selecionando a opção de usar somente o FIPS 140-1 cipher suites no TLS 1.0:

Devido a essa diferença, os clientes talvez queira proibir o uso do SSL 3.0, mesmo que o conjunto permitido de conjuntos de codificação é limitado a apenas o subconjunto FIPS 140-1 conjuntos de codificação. Nesse caso, altere os dados do valor DWORD do valor de Enabled para 0x0 nas seguintes chaves do registro sob a chave de protocolos:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Aviso Os dados do valor de Enabled nessas chaves do registro sob a chave de protocolos tem precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial Schannel. Os dados de valor padrão ativado 0xFFFFFFFF.

Arquivos de registro de exemplo

Dois exemplos de conteúdo do arquivo de registro para configuração são fornecidos nesta seção do artigo. Eles são Export.reg e não export.reg.

Em um computador que esteja executando o Windows NT 4.0 Service Pack 6 com o Rasbase.dll exportáveis e arquivos Schannel. dll, executados o Export.reg para certificar-se de que apenas o TLS 1.0 FIPS cipher suites são usados pelo computador.

Em um computador que esteja executando o Windows NT 4.0 Service Pack 6 que inclui o Rasenh.dll não exportável e os arquivos Schannel. dll, executados Non-export.reg para certificar-se de que apenas o TLS 1.0 FIPS cipher suites são usados pelo computador.

Para o arquivo Schannel. dll reconhecer qualquer alteração na chave do registro SCHANNEL, reinicie o computador.

Para retornar as configurações do registro para o padrão, exclua a chave de registro SCHANNEL e tudo sob ele. Se essas chaves do registro não estiverem presentes, o Schannel recria as chaves quando você reiniciar o computador.

Propriedades

ID do artigo: 245030 - Última revisão: quarta-feira, 11 de dezembro de 2013 - Revisão: 8.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbenv kbinfo kbmt KB245030 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 245030

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com