Ako obmedziť používanie určitých kryptografických algoritmov a protokoly, Schannel.dll

Preklady článku Preklady článku
ID článku: 245030 - Zobraziť produkty, ktorých sa tento článok týka.
Pre novšie verzie systému Windows
Kľúče databázy registry a ich obsahu v systéme Windows Server 2008, Windows 7 a Windows Server 2008 R2 odlišné od kľúčov registry v systéme Windows Server 2003 a starších verziách. Umiestnenie databázy registry Windows 7, Windows Server 2008, Windows Server 20008 R2 a predvolený obsah sú nasledovné:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001

Tento obsah je zobrazený v štandardnom formáte vývoz REGEDIT.

Poznámky
  • Šifry kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • Šifrovacie množiny kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • Hash kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • KeyExchangeAlgorithms kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • Protokoly kľúč by mal obsahovať nasledovné podkľúčov a hodnoty:
    • Protokoly
      • SSL 2.0
        • Klient
          • DisabledByDefault REG_DWORD 0x00000001 (hodnota)
Windows Server 2008 podporuje nasledovné protokoly:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 a Windows 7 podpora nasledovné protokoly:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1,2
Tieto protokoly je možné vypnúť pre server alebo klient architektúry. To znamená protokolu môžu byť vynechané alebo zakázaný takto:
  • Protokol môže byť vynechaný z zoznam podporovaných protokolov, ktoré sú súčasťou klienta Hello pri spustení pripojenia SSL.
  • Protokol môže byť vypnutý na serveri server nebude reagovať pomocou protokolu aj keď klient vyžaduje SSL 2.0.
Klient a server podkľúče označiť každý protokol. Môžete zakázať protokol pre klienta alebo servera. Však vypnúť šifry, hash alebo šifrovacie množiny ovplyvňuje stranách klienta a servera. Mali by ste vytvoriť potrebné podkľúče pod protokoly kľúčom k dosiahnutiu tohto cieľa. Napríklad:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1,0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Po vytvorení podkľúčov databázy registry je zobrazená takto:

Zbaliť tento obrázokRozbaliť tento obrázok
2880599


V predvolenom nastavení klienta SSL 2.0 je vypnutá v systéme Windows Server 2008, Windows Server 2008 R2 a Windows 7. To znamená, že počítač nebude používať SSL 2.0 spustenie klienta Hello. Preto, databázy registry je zobrazená takto:

Zbaliť tento obrázokRozbaliť tento obrázok
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001
Presne ako šifry a KeyExchangeAlgorithms, protokoly môžete povoliť alebo zakázať. Zakázať iné protokoly, vyberte strane konverzácie, pre ktorú chcete zakázať protokol, a potom pridať "Enabled" = dword:00000000 hodnota. Nasledovný príklad vypína SSL 2.0 pre server a tiež SSL 2.0 pre klienta.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Enabled" = dword:00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Po vykonaní tejto akcie, budete musieť reštartovať server.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Súhrn

Tento článok popisuje obmedziť používanie určitých kryptografických algoritmov a protokoly v súbore Schannel.dll.Táto informácia platí aj pre dodávateľa (ISV) nezávislé softvérových aplikácií, ktoré sú napísané pre Microsoft kryptografických API (CAPI).

Poznámka Kľúče databázy registry, ktoré sa vzťahujú na Windows Server 2008 a novšími verziami systému Windows, nájdete v časti "pre novšie verzie systému Windows".

Ďalšie informácie

Nasledujúci poskytovatelia kryptografických služieb (CSP), ktoré sú súčasťou systému Windows NT 4.0 Service Pack 6 boli udelené certifikáty pre Crypto validácie FIPS-140-1:
  • Kryptografické poskytovateľa Microsoft Base (Rsabase.dll)
  • Enhanced kryptografické poskytovateľa Microsoft (Rsaenh.dll) (non-vývozná verzia)
Microsoft poskytovateľ zabezpečenia TLS/SSL, Schannel.dll súboru, využíva SDK, ktoré sú tu uvedené vykonávať bezpečnú komunikáciu cez SSL alebo TLS svoju podporu pre program Internet Explorer a Internet Information Services (IIS).

Môžete zmeniť súbor Schannel.dll na podporu šifrovacia 1 a 2. Avšak, program musí podporovať šifrovacia 1 a 2. Šifrovacia 1 a 2 nie sú podporované v IIS 4.0 a 5.0.

Tento článok obsahuje informácie potrebné na konfiguráciu TLS/SSL zabezpečenia poskytovateľa pre systém Windows NT 4.0 Service Pack 6 a novších verziách. Registry systému Windows môžete použiť na kontrolu používania osobitných SSL 3.0 alebo TLS 1.0 šifrovacia s ohľadom na kryptografické algoritmy, ktoré podporuje poskytovateľ kryptografických Base alebo Enhanced kryptografické poskytovateľa.

Poznámka V systéme Windows NT 4.0 Service Pack 6, Schannel.dll súbor nepoužíva Base DSS kryptografické poskytovateľa Microsoft (Dssbase.dll) alebo DS/Diffie-Hellman Enhanced kryptografické poskytovateľa Microsoft (Dssenh.dll).

Šifrovacia

Obe SSL 3.0 ()http://www.mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt) a TLS 1.0 (RFC2246) s INTERNET-návrh "56-bitové Export šifrovacia pre TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" poskytuje možnosti používať rôzne šifrovacie sady. Každý šifrovacia určuje výmeny kľúčov, autentizácia, šifrovanie a MAC algoritmy, ktoré sú používané v relácii SSL/TLS. Všimnite si, že pri používaní RSA ako výmenu kľúčov a overovanie algoritmy, termín RSA okno len raz príslušné definície apartmán šifry.

Windows NT 4.0 služba Pack 6 TLS/SSL zabezpečenia poskytovateľa Microsoft podporuje nasledujúce SSL 3.0-definícia "CipherSuite" pri používaní kryptografické poskytovateľ Base alebo Enhanced kryptografické poskytovateľa:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Poznámka SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ani SSL_RSA_EXPORT1024_WITH_RC4_56_SHA je definovaná v SSL 3.0 textu. Avšak, niektorí predajcovia SSL 3.0 ich podporu. To zahŕňa Microsoft.

Systém Windows NT 4.0 Pack 6 Microsoft TLS/SSL zabezpečenia poskytovateľa tiež podporuje nasledujúce TLS 1.0-definícia "CipherSuite" pri používaní kryptografické poskytovateľ Base alebo Enhanced kryptografické poskytovateľa:

Zbaliť túto tabuľkuRozbaliť túto tabuľku
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Poznámka Šifrovacia, ktorý je definovaný pomocou prvého bajtu "0x00" je nepovin-Súkromné a používa pre otvorené interoperabilné komunikácie. Preto, Windows NT 4.0 služba Pack 6 TLS/SSL zabezpečenia poskytovateľa Microsoft sleduje postupy používania týchto šifrovacia špecifikované v SSL 3.0 a TLS 1.0 zabezpečiť interoperabilitu.

Kľúče databázy registry špecifické pre SCHANNEL

Dôležité Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu spôsobiť vážne problémy ak databázu registrov upravíte nesprávne. Preto sa uistite, že ste postupovali správne. Doporučujeme zálohovať databázu registrov skôr, ako zmeníte jej hodnoty. Potom, môžete obnoviť databázu registrov, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registrov nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:
322756 Ako zálohovať a obnovenie databázy registry v systéme Windows
Poznámka Akékoľvek zmeny v obsahu ŠIFRY kľúč alebo kľúč hash sa prejavia okamžite, bez reštartovania systému.

SCHANNEL kľúč

Spustite Editor databázy Registry (Regedt32.exe), a potom vyhľadajte nasledujúci kľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols podkľúč

Aby systém použiť protokoly, ktoré nie sa bude rokovať v predvolenom nastavení (napríklad TLS 1.1 a TLS 1.2), zmeniť údaje hodnoty DWORD hodnotu DisabledByDefault0x0 v nasledujúcich kľúčov databázy registry pod kľúčom protokoly:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Upozornenie DisabledByDefault hodnota kľúče registry pod kľúčom protokolov nie prednosť grbitEnabledProtocols hodnotu, ktorá je definovaná v SCHANNEL_CRED štruktúra, ktorá obsahuje údaje pre Schannel poverenia.

SCHANNEL\Ciphers podkľúč

Šifry kľúča databázy registry pod kľúčom SCHANNEL sa používa na ovládanie symetrické algoritmov DES a RC4. Nižšie sú platné kľúče databázy registry pod kľúčom šifier.
SCHANNEL\Ciphers\RC4 128/128 podkľúč
RC4 128/128

Tento podkľúč odkazuje na 128-bitové RC4.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Alebo zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie. Tento kľúč databázy registry sa nevzťahuje na exportovateľný server, ktorý nemá osvedčenie o GS.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
Podkľúč SCHANNEL\Ciphers\Triple DES 168/168
Triple DES 168

Tento kľúč databázy registry odkazuje na 168-bitový Triple DES špecifikované v ANSI X9.52 a návrh FIPS 46-3. Tento kľúč databázy registry sa nevzťahuje na vývoz verziu.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Alebo meniť údaje DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 podkľúč
RC2 128/128

Tento kľúč databázy registry odkazuje na 128-bitové RC2. To sa nevzťahuje na vývoz verziu.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

SCHANNEL\Ciphers\RC4 64/128 podkľúč
RC4 64/128

Tento kľúč databázy registry odkazuje na 64-bit RC4. To sa nevzťahuje na vývoz verziu (ale sa používa v programe Microsoft Money).

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

SCHANNEL\Ciphers\RC4 56/128 podkľúč
RC4 56/128

Tento kľúč databázy registry odkazuje na 56-bitové RC4.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

Vypnutie tohto algoritmu účinne neuzná takto:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 podkľúč
RC2 56/128

Tento kľúč databázy registry odkazuje na 56-bitové RC2.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

Podkľúč SCHANNEL\Ciphers\RC2 56/56

DES 56

Tento kľúč databázy registry odkazuje na 56-bitové DES ako zadaný vo FIPS 46-2. Jej realizácia v Rsabase.dll a Rsaenh.dll súbory je overená podľa FIPS 140-1 kryptografický modul validácie programu.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 podkľúč

RC4 40/128

Vzťahuje sa na 40-bit RC4.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 podkľúč

RC2 40/128

Tento kľúč databázy registry odkazuje na 40-bitové RC2.

Ak chcete povoliť tento príkaz cipher algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE hodnotu Enabled, predvolenou možnosťou je povolenie.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL podkľúč

HODNOTU NULL

Tento kľúč databázy registry znamená bez šifrovania. Predvolene je vypnutý.

Ak chcete vypnúť šifrovanie (zakázať všetky šifry algoritmy), zmeniť údaje hodnoty DWORD zapnuté hodnoty 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0.

Podkľúč SCHANNEL/hash

Hash kľúč databázy registry pod kľúčom SCHANNEL sa používa na ovládanie hash algoritmov SHA-1 a MD5. Nasledujúce sú kľúče databázy registry platné podľa hash kľúč.

SCHANNEL\Hashes\MD5 podkľúč

MD5

Povoliť tento hashovací algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnota na predvolenú hodnotu 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA podkľúč

SHA

Tento kľúč databázy registry odkazuje na Secure Hash Algorithm (SHA-1), ako zadaný vo FIPS 180-1. Jej realizácia v Rsabase.dll a Rsaenh.dll súbory je overená podľa FIPS 140-1 kryptografický modul validácie programu.

Povoliť tento hashovací algoritmus, zmeniť údaje hodnoty DWORD zapnuté hodnota na predvolenú hodnotu 0xFFFFFFFF. Inak, zmeniť údaje hodnoty DWORD 0x0.

Vypnutie tohto algoritmu účinne neuzná takto:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Podkľúč SCHANNEL/KeyExchangeAlgorithms

KeyExchangeAlgorithms kľúča databázy registry pod kľúčom SCHANNEL sa používa na ovládanie výmeny kľúčov algoritmov ako RSA. Nižšie sú platné kľúče databázy registry pod kľúčom KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS podkľúč
PKCS

Tento kľúč databázy registry odkazuje na RSA ako kľúčovými výmenu a overenie algoritmov.

Povoliť RSA, zmeniť údaje hodnoty DWORD zapnuté hodnota na predvolenú hodnotu 0xFFFFFFFF. Inak meniť údaje DWORD 0x0.

Vypnutie RSA účinne neuzná všetky RSA-založené SSL a TLS šifrovacie sady podporované Windows NT4 SP6 Microsoft TLS/SSL zabezpečenia poskytovateľa.

FIPS 140-1 šifrovacia

Možno budete chcieť použiť len tie SSL 3.0 alebo TLS 1.0 šifrovacia ktoré zodpovedajú FIPS 46-3 alebo FIPS 46-2 a 180-1 štandardu FIPS poskytované Microsoft Base alebo Enhanced kryptografické poskytovateľa.

V tomto článku sa budeme na ne odkazovať ako FIPS 140-1 šifrovacia. Konkrétne sú takto:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Používať len FIPS 140-1 šifrovacia definované tu a podporované Windows NT 4.0 Pack 6 Microsoft TLS/SSL zabezpečenia poskytovateľa poskytovateľ kryptografických Base alebo Enhanced kryptografické poskytovateľa, konfigurovať DWORD hodnotu údajov zapnuté hodnota v nasledujúcich kľúčov databázy registry 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
A konfigurovať DWORD hodnotu údajov zapnuté hodnota v nasledujúcich kľúčov databázy registry 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[nevzťahuje vývozná verzia]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Majster tajomstvo výpočtu pomocou FIPS 140-1 šifrovacia

Postupy na používanie šifrovania FIPS 140-1 apartmánov v SSL 3.0 sa líšia od postupov pomocou TLS 1.0 FIPS 140-1 šifrovacia.

V SSL 3.0, nasleduje výpočet master_secret definíciu:

V TLS 1.0, toto je definícia master_secret výpočtu:

kde:

Vyberiete možnosť používať len FIPS 140-1 šifrovacia TLS 1.0:

Kvôli tomuto rozdielu, môžu zákazníci chcú zakázať použitie SSL 3.0 hoci povolené sadu šifrovacia je obmedzená len na podmnožinu FIPS 140-1 šifrovacia. V takom prípade zmeniť údaje hodnoty DWORD zapnuté hodnoty 0x0 v nasledujúcich kľúčoch databázy registry pod kľúčom protokoly:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Upozornenie Povolené hodnoty údajov v týchto kľúčov databázy registry pod kľúčom protokoly má prednosť pred grbitEnabledProtocols hodnotu, ktorá je definovaná v SCHANNEL_CRED štruktúra, ktorá obsahuje údaje pre Schannel poverenia. Predvolené zapnuté hodnota údaje 0xFFFFFFFF.

Napríklad súbory databázy registry

Dva príklady obsahu registra súbor pre konfiguráciu sú uvedené v tejto časti článku. Sú Export.reg a Non-export.reg.

V počítači so systémom Windows NT 4.0 Service Pack 6 s exportovateľný Rasbase.dll a Schannel.dll súbory, spustite Export.reg aby sa ubezpečil, že len TLS 1.0 FIPS cipher sady používajú počítač.

V počítači je spustený systém Windows NT 4.0 Service Pack 6 obsahujúcu neexportovateľnú Rasenh.dll a Schannel.dll súbory, spustite Non-export.reg aby sa ubezpečil, že len TLS 1.0 FIPS cipher sady používajú počítač.

Schannel.dll súbor rozpoznať zmeny v kľúči databázy registry SCHANNEL, musíte reštartovať počítač.

Ak chcete obnoviť nastavenia databázy registry na predvolené, odstrániť SCHANNEL kľúč databázy registry a všetko pod ním. Ak tieto kľúče databázy registry nie sú prítomné, Schannel.dll rekonštrukcie klávesov pri reštartovaní počítača.

Vlastnosti

ID článku: 245030 - Posledná kontrola: 12. decembra 2013 - Revízia: 6.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Kľúčové slová: 
kbenv kbinfo kbmt KB245030 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 245030

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com