วิธีการจำกัดการใช้อัลกอริทึมการเข้ารหัสลับและโปรโตคอลใน Schannel.dll แน่นอน

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 245030 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
สำหรับ Windows รุ่นที่ใหม่กว่า
รีจิสทรีคีย์และเนื้อหาของพวกเขาใน Windows Server 2008, Windows 7 และ Windows Server 2008 R2 มีลักษณะแตกต่างจากรีจิสทรีคีย์ใน Windows Server 2003 และรุ่นก่อนหน้านี้ ที่ตั้งของรีจิสทรีใน Windows 7, Windows Server 2008 และ Windows Server 20008 R2 และเนื้อหาเริ่มต้นจะเป็นดังนี้:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001

เนื้อหานี้ถูกแสดงในรูปแบบการส่งออก REGEDIT มาตรฐาน

หมายเหตุ
  • ควรประกอบด้วยคีย์ Ciphers ไม่มีค่าหรือคีย์ย่อย
  • ควรประกอบด้วยคีย์ CipherSuites ไม่มีค่าหรือคีย์ย่อย
  • ควรประกอบด้วยคีย์ Hashes ไม่มีค่าหรือคีย์ย่อย
  • ควรประกอบด้วยคีย์ KeyExchangeAlgorithms ไม่มีค่าหรือคีย์ย่อย
  • หมายเลขโพรโทคอลควรประกอบด้วยคีย์ย่อยและค่าต่อไปนี้:
    • โพรโทคอล
      • SSL 2.0
        • ไคลเอ็นต์
          • DisabledByDefault REG_DWORD 0x00000001 (มูลค่า)
Windows Server 2008 สนับสนุนโพรโทคอลที่ดังต่อไปนี้:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 และ Windows 7 สนับสนุนโพรโทคอลที่ดังต่อไปนี้:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
โพรโทคอลเหล่านี้สามารถถูกยกเลิกสำหรับสถาปัตยกรรมไคลเอนต์หรือเซิร์ฟเวอร์ ซึ่งหมายความว่า โพรโทคอลสามารถใส่ หรือถูกปิดใช้งานดังนี้:
  • โพรโทคอลสามารถถูกตัดออกจากรายการของโพรโทคอลที่สนับสนุนที่รวมอยู่ในการไคลเอ็นต์สวัสดี เมื่อเริ่มต้นการเชื่อมต่อ SSL
  • โพรโทคอลสามารถถูกปิดใช้งานบนเซิร์ฟเวอร์เพื่อให้เซิร์ฟเวอร์จะไม่ตอบสนอง โดยใช้โพรโทคอลนั้นแม้ว่าไคลเอนต์ร้องขอ SSL 2.0
คีย์ย่อยของไคลเอ็นต์และเซิร์ฟเวอร์กำหนดแต่ละโพรโทคอล คุณสามารถปิดใช้งานโพรโทคอลสำหรับไคลเอนต์หรือเซิร์ฟเวอร์ อย่างไรก็ตาม การปิดการใช้งาน Ciphers ค่า Hash หรือ CipherSuites ส่งผลด้านทั้งไคลเอนต์และเซิร์ฟเวอร์ คุณจะไม่สามารถสร้างคีย์ย่อยที่จำเป็นภายใต้คีย์โปรโตคอลเพื่อให้ได้ข้อมูลนี้ ตัวอย่าง:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
หลังจากสร้างคีย์ย่อยรี รีจิสทรีจะแสดงดังนี้:

ยุบรูปภาพนี้ขยายรูปภาพนี้
2880599


โดยค่าเริ่มต้น SSL 2.0 ไคลเอ็นต์ถูกปิดใช้งานใน Windows Server 2008, Windows Server 2008 R2 และ Windows 7 ซึ่งหมายความ ว่า คอมพิวเตอร์จะไม่ใช้ SSL 2.0 เพื่อเริ่มการทำงานกับไคลเอ็นต์สวัสดี ดังนั้น ในรีจิสทรีจะแสดงดังนี้:

ยุบรูปภาพนี้ขยายรูปภาพนี้
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001
เหมือนกับ Ciphers และ KeyExchangeAlgorithms โพรโทคอลที่สามารถเปิดใช้งาน หรือปิดใช้งาน เมื่อต้องการปิดใช้งานโพรโทคอลอื่น ๆ เลือกด้านของการสนทนาที่คุณต้องการปิดใช้งานโพรโทคอล และเพิ่มการ "การเปิดใช้งาน" = dword:00000000 ค่าหรือไม่ ตัวอย่างต่อไปนี้ปิด SSL 2.0 สำหรับเซิร์ฟเวอร์ และยัง SSL 2.0 สำหรับไคลเอนต์
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword:00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"การเปิดใช้งาน" = dword:00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
หลังจากคุณใช้คำสั่งนี้ คุณต้องรีสตาร์ทเซิร์ฟเวอร์ที่
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายถึงวิธีการจำกัดการใช้อัลกอริทึมการเข้ารหัสลับและโปรโตคอลในแฟ้ม Schannel.dll แน่นอนข้อมูลนี้ใช้กับซอฟต์แวร์อิสระ (ISV) ของผู้จัดจำหน่ายโปรแกรมประยุกต์ที่เขียนขึ้นสำหรับการ Microsoft เข้ารหัสลับ API (CAPI) นอกจากนี้

หมายเหตุ รีจิสทรีคีย์ที่ใช้กับ Windows Server 2008 และ Windows รุ่นที่ใหม่กว่า ดูส่วน "สำหรับรุ่นที่ใหม่กว่าของ Windows"

ข้อมูลเพิ่มเติม

ต่อไปนี้เข้ารหัสลับบริการ (CSPs) ที่มีอยู่ใน Windows NT 6 Service Pack ของ 4.0 ได้รับรางวัลใบรับรองสำหรับ การตรวจสอบ FIPS 140 1 เข้ารหัสลับ:
  • บริการการเข้ารหัสลับฐาน Microsoft (Rsabase.dll)
  • Microsoft สนับสนุนเข้ารหัสลับบริการ (Rsaenh.dll) (รุ่นที่ไม่ใช่ส่งออก)
ให้บริการรักษาความปลอดภัย Microsoft TLS/SSL แฟ้ม Schannel.dll ใช้ CSPs ที่แสดงไว้ที่นี่เพื่อทำการสื่อสารที่ปลอดภัย SSL หรือ TLS ในการสนับสนุนสำหรับ Internet Explorer และ Internet Information Services (IIS)

คุณสามารถเปลี่ยนแฟ้ม Schannel.dll เพื่อสนับสนุนชุดการเข้ารหัส 1 และ 2 อย่างไรก็ตาม โปรแกรมต้องยังสนับสนุนชุดการเข้ารหัส 1 และ 2 ชุดการเข้ารหัส 1 และ 2 ไม่ได้รับการสนับสนุนใน IIS 4.0 และ 5.0

บทความนี้ประกอบด้วยข้อมูลที่จำเป็นในการกำหนดค่า TLS/SSL ความปลอดภัยผู้ให้บริการสำหรับ Windows NT 4.0 Service Pack 6 และรุ่นที่ใหม่กว่า คุณสามารถใช้รีจิสทรีของ Windows เพื่อควบคุมการใช้เฉพาะ SSL 3.0 หรือ TLS 1.0 cipher ชุดโดยอิงกับอัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุน โดยตัวให้บริการการเข้ารหัสลับฐานหรือบริการเข้ารหัสลับแบบขั้นสูง

หมายเหตุ ใน Windows NT 4.0 Service Pack 6 แฟ้ม Schannel.dll ไม่ได้ใช้ผู้ที่ Microsoft ฐาน DSS เข้ารหัสลับให้ (Dssbase.dll) หรือตัว Microsoft DS/กำลัง-Hellman ขั้นสูงให้เข้ารหัสลับบริการ (Dssenh.dll)

ชุดการเข้ารหัส

ทั้ง SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) และ TLS 1.0 (RFC2246) กับอินเทอร์เน็ตแบบร่าง "56 บิตส่งเข้ารหัสชุดสำหรับ TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" มีตัวเลือกให้ใช้ชุดการเข้ารหัสที่แตกต่างกัน แต่ละชุดการเข้ารหัสเป็นตัวกำหนดการแลกเปลี่ยนคีย์ รับรองความถูกต้อง การเข้ารหัสลับ และอัลกอริทึม MAC ที่ใช้ในเซสชันการ SSL/TLS โปรดสังเกตว่า เมื่อคุณใช้ RSA เป็นทั้งแลกเปลี่ยนคีย์และอัลกอริทึมการรับรองความถูกต้อง คำRSAปรากฏเพียงครั้งเดียวในข้อกำหนดของชุดการเข้ารหัสที่สอดคล้องกัน

ใน Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL ความปลอดภัยบริการสนับสนุนต่อไปนี้กำหนด SSL 3.0 "CipherSuite" เมื่อคุณใช้ตัวให้บริการการเข้ารหัสลับฐานหรือบริการเข้ารหัสลับของขั้นสูง:
ยุบตารางนี้ขยายตารางนี้
SSL_RSA_EXPORT_WITH_RC4_40_MD5{ 0x00, 0x03 }
SSL_RSA_WITH_RC4_128_MD5{ 0x00, 0x04 }
SSL_RSA_WITH_RC4_128_SHA{ 0x00, 0x05 }
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{ 0x00, 0x06 }
SSL_RSA_WITH_DES_CBC_SHA{ 0x00, 0x09 }
SSL_RSA_WITH_3DES_EDE_CBC_SHA{ 0x00, 0x0A }
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{ 0x00, 0x62 }
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{ 0x00, 0x64 }
หมายเหตุ ไม่มี SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA หรือ SSL_RSA_EXPORT1024_WITH_RC4_56_SHA ถูกกำหนดในข้อความของ SSL 3.0 อย่างไรก็ตาม SSL 3.0 ผู้ขายหลายรายสนับสนุนเฟรม ซึ่งรวมถึง Microsoft

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL ความปลอดภัยบริการยังสนับสนุนการต่อไปนี้กำหนด TLS 1.0 "CipherSuite" เมื่อคุณใช้ตัวให้บริการการเข้ารหัสลับฐานหรือให้บริการการเข้ารหัสลับขั้นสูง:

ยุบตารางนี้ขยายตารางนี้
TLS_RSA_EXPORT_WITH_RC4_40_MD5{ 0x00, 0x03 }
TLS_RSA_WITH_RC4_128_MD5{ 0x00, 0x04 }
TLS_RSA_WITH_RC4_128_SHA{ 0x00, 0x05 }
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{ 0x00, 0x06 }
TLS_RSA_WITH_DES_CBC_SHA{ 0x00, 0x09 }
TLS_RSA_WITH_3DES_EDE_CBC_SHA{ 0x00, 0x0A }
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{ 0x00, 0x62 }
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{ 0x00, 0x64 }
หมายเหตุ ชุดการเข้ารหัสแบบที่กำหนดไว้ โดยใช้ไบต์แรก "0x00" เป็นส่วนตัวที่ไม่ใช่ และถูกใช้สำหรับการสื่อสารเปิดงานร่วมกัน ดังนั้น ใน Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL ความปลอดภัยบริการตามขั้นตอนต่าง ๆ สำหรับการใช้ชุดโปรแกรมเหล่านี้เข้ารหัสตามที่ระบุใน SSL 3.0 และ TLS 1.0 เพื่อให้แน่ใจว่าการทำงานร่วมกัน

คีย์รีจิสทรีเฉพาะ Schannel

สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่า คุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง และคืนค่ารีจิสทรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows
หมายเหตุ มีการเปลี่ยนแปลงเนื้อหาของ CIPHERS คีย์หรือคีย์ HASHES มีผลทันที โดยไม่ต้องเริ่มระบบใหม่

คีย์ SCHANNEL

เริ่มตัวแก้ไขรีจิสทรี (Regedt32.exe), และจากนั้น ระบุตำแหน่งที่ตั้งของรีจิสทรีคีย์ต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

คีย์ย่อย SCHANNEL\Protocols

เมื่อต้องการเปิดใช้งานระบบจะใช้โพรโทคอลที่จะไม่สามารถเจรจาต่อรอง โดยค่าเริ่มต้น (เช่น TLS 1.1 และ TLS 1.2), เปลี่ยนข้อมูลค่า DWORD ของค่าDisabledByDefaultเป็น0x0ในรีจิสทรีคีย์ต่อไปนี้ภายใต้คีย์โปรโตคอล:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
คำเตือน ค่าในคีย์รีจิสทรีภายใต้คีย์โพรโทคอล DisabledByDefault จะมีบทบาทเหนือค่า grbitEnabledProtocols ที่กำหนดไว้ในโครงสร้าง SCHANNEL_CRED ที่ประกอบด้วยข้อมูลสำหรับข้อมูลประจำตัว Schannel

คีย์ย่อย SCHANNEL\Ciphers

มีใช้คีย์รีจิสทรี Ciphers ภายใต้คีย์ SCHANNEL เพื่อควบคุมการใช้อัลกอริทึมสมมาตรเช่น DES และแบบ RC4 ต่อไปนี้มีคีย์รีจิสทรีถูกต้องภายใต้คีย์ Ciphers
ซับคีย์ SCHANNEL\Ciphers\RC4 128/128
แบบ RC4 128/128

คีย์ย่อยนี้แสดงถึงแบบ RC4 128 บิต

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. หรือ ข้อมูลค่า DWORD เมื่อต้องการเปลี่ยนแปลง 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน คีย์รีจิสทรีนี้ไม่ถูกนำไปใช้กับเซิร์ฟเวอร์ที่ไม่มีใบรับรอง SGC สามารถส่งออกได้

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
ซับคีย์ DES SCHANNEL\Ciphers\Triple 168/168
DES สาม 168

คีย์รีจิสทรีนี้แสดงถึง DES กสามค 168 บิตตามที่ระบุไว้ใน ANSI X9.52 และร่าง FIPS 46-3 คีย์รีจิสทรีนี้ไม่ใช้กับเวอร์ชันการส่งออก

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. หรือ ข้อมูล DWORD เมื่อต้องการเปลี่ยนแปลง 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
ซับคีย์ SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

คีย์รีจิสทรีนี้แสดงถึง RC2 128 บิต จะไม่นำไปใช้กับรุ่นส่งออก

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

คีย์ย่อย SCHANNEL\Ciphers\RC4 64/128
แบบ RC4 64/128

คีย์รีจิสทรีนี้อ้างอิงถึงแบบ RC4 64 บิต ไม่สามารถใช้กับรุ่นส่งออก (แต่จะใช้ในการโอนเงิน Microsoft)

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

คีย์ย่อย SCHANNEL\Ciphers\RC4 56/128
แบบ RC4 56/128

คีย์รีจิสทรีนี้อ้างอิงถึงแบบ RC4 56 บิต

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
คีย์ย่อย SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

คีย์รีจิสทรีนี้แสดงถึง RC2 56 บิต

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

คีย์ย่อย SCHANNEL\Ciphers\RC2 56/56

DES 56

คีย์รีจิสทรีนี้แสดงถึง DES 56 บิตตามที่ระบุใน FIPS 46-2 ผ่านการตรวจสอบการใช้งานในแฟ้ม Rsabase.dll และ Rsaenh.dll ภายใต้ FIPS 140 1 เข้ารหัสลับโมดูลการตรวจสอบโปรแกรม

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
คีย์ย่อย SCHANNEL\Ciphers\RC4 40/128

แบบ RC4 40/128

ข้อมูลนี้อ้างถึงแบบ RC4 40 บิต

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
คีย์ย่อย SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

คีย์รีจิสทรีนี้แสดงถึง RC2 40 บิต

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมการเข้ารหัสนี้ เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0. ถ้าคุณไม่กำหนดค่าเปิดการใช้งาน การเริ่มต้นจะเปิดใช้งาน

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
คีย์ย่อย SCHANNEL\Ciphers\NULL

ค่า NULL

คีย์รีจิสทรีนี้หมายความว่า ไม่มีการเข้ารหัสลับ โดยค่าเริ่มต้น ปิดเครื่อง

เมื่อต้องการปิดการเข้ารหัสลับ (ดภัณฑ์อัลกอริทึมการเข้ารหัสทั้งหมด), เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0.

คีย์ย่อย SCHANNEL/Hashes

มีใช้คีย์รีจิสทรี Hashes ภายใต้คีย์ SCHANNEL เพื่อควบคุมการใช้อัลกอริทึมแปลงแป้นพิมพ์เช่น SHA-1 และ md 5 ต่อไปนี้มีคีย์รีจิสทรีถูกต้องภายใต้คีย์ Hashes

คีย์ย่อย SCHANNEL\Hashes\MD5

MD 5

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมนี้แปลงแป้นพิมพ์ เปลี่ยนข้อมูลค่า DWORD ของค่าถูกเปิดใช้งานเป็นค่าเริ่มต้น 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0.

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
คีย์ย่อย SCHANNEL\Hashes\SHA

SHA

คีย์รีจิสทรีนี้อ้างอิงถึงการรักษาความปลอดภัยอัลกอริธึมแฮภาษี (SHA-1), ตามที่ระบุใน FIPS 180-1 ผ่านการตรวจสอบการใช้งานในแฟ้ม Rsabase.dll และ Rsaenh.dll ภายใต้ FIPS 140 1 เข้ารหัสลับโมดูลการตรวจสอบโปรแกรม

เมื่อต้องการอนุญาตให้ใช้อัลกอริทึมนี้แปลงแป้นพิมพ์ เปลี่ยนข้อมูลค่า DWORD ของค่าถูกเปิดใช้งานเป็นค่าเริ่มต้น 0xffffffff. เปลี่ยนข้อมูลของค่า DWORD เป็น 0x0.

การปิดการใช้งานอัลกอริทึมนี้ได้อย่างมีประสิทธิภาพอนุญาตต่อไปนี้:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

คีย์ย่อย SCHANNEL/KeyExchangeAlgorithms

มีใช้คีย์รีจิสทรี KeyExchangeAlgorithms ภายใต้คีย์ SCHANNEL เพื่อควบคุมการใช้อัลกอริทึมการแลกเปลี่ยนคีย์เช่น RSA ต่อไปนี้มีคีย์รีจิสทรีถูกต้องภายใต้คีย์ KeyExchangeAlgorithms

คีย์ย่อย SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

คีย์รีจิสทรีนี้อ้างอิงถึงแบบ RSA เป็นอัลรับรองความถูกต้องและการแลกเปลี่ยนคีย์

เมื่อต้องการอนุญาตให้ RSA เปลี่ยนข้อมูลค่า DWORD ของค่าถูกเปิดใช้งานเป็นค่าเริ่มต้น 0xffffffff. หรือ เปลี่ยนแปลงข้อมูล DWORD ไป 0x0.

การปิดการใช้งาน RSA ได้อย่างมีประสิทธิภาพเด็ดขาดทั้งหมด RSA ใช้ SSL และ TLS cipher ชุดได้รับการสนับสนุน โดยตัวให้บริการความปลอดภัย Windows NT4 SP6 Microsoft TLS/SSL

ชุดการเข้ารหัส 140 1 FIPS

คุณอาจต้องการใช้เท่านั้นดังกล่าว SSL 3.0 หรือ TLS 1.0 เข้ารหัสชุดที่สอดคล้องกับ FIPS 46-3 หรือ FIPS 46-2 และให้ โดยฐานของ Microsoft หรือให้บริการการเข้ารหัสลับขั้นสูงอัลกอริทึม 180 1 FIPS

ในบทความนี้ เราอ้างถึงเป็นชุดการเข้ารหัส 140 1 FIPS โดยเฉพาะอย่างยิ่ง พวกเขาจะเป็นดังนี้:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
เมื่อต้องการใช้ชุดการเข้ารหัส 140 1 FIPS เท่านั้นตามที่กำหนดไว้ที่นี่ และได้รับการสนับสนุน โดย Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL ความปลอดภัยให้กับตัวให้บริการการเข้ารหัสลับฐานหรือผู้ให้การสนับสนุนเข้ารหัสลับบริการ การกำหนดค่าข้อมูลค่า DWORD ของค่าถูกเปิดใช้งานในรีจิสทรีคีย์ต่อไปนี้เมื่อต้องการ 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
และข้อมูลค่า DWORD ของค่าถูกเปิดใช้งานการกำหนดค่าในคีย์รีจิสทรีต่อไปนี้เพื่อ 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • DES SCHANNEL\Ciphers\Triple 168/168 " [ไม่เกี่ยวข้องในการส่งออกรุ่น]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

คำนวณลับหลัก โดยใช้ชุดการเข้ารหัส 140 1 FIPS

ขั้นตอนสำหรับการใช้การเข้ารหัส 140 1 FIPS ชุดโปรแกรมใน SSL 3.0 แตกต่างจากขั้นตอนการใช้ชุดการเข้ารหัส 140 1 FIPS ใน TLS 1.0

SSL 3.0 ต่อไปนี้คือ การคำนวณ master_secret คำนิยาม:

TLS 1.0 ต่อไปนี้คือ การคำนวณ master_secret คำนิยาม:

ตำแหน่ง:

เลือกตัวเลือกในการใช้ชุดการเข้ารหัส 140 1 FIPS เท่านั้นใน TLS 1.0:

เนื่องจาก มีความแตกต่างนี้ ลูกค้าอาจต้องการห้ามไม่ให้ใช้ SSL 3.0 แม้ว่าชุดของชุดการเข้ารหัสสามารถใช้ได้จะจำกัดเฉพาะชุดย่อยของชุดการเข้ารหัส 140 1 FIPS ในกรณีดังกล่าว เปลี่ยนข้อมูลค่า DWORD ของค่าเมื่อต้องการเปิดการใช้งาน 0x0 ในคีย์รีจิสทรีต่อไปนี้ภายใต้คีย์โปรโตคอล:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
คำเตือน เปิดใช้งานข้อมูลค่าในรีจิสทรีคีย์เหล่านี้ภายใต้คีย์โปรโตคอลจะมีความสำคัญเหนือค่า grbitEnabledProtocols ที่กำหนดไว้ในโครงสร้าง SCHANNEL_CRED ที่ประกอบด้วยข้อมูลสำหรับข้อมูลประจำตัว Schannel ข้อมูลค่าเริ่มต้นถูกเปิดใช้งานอยู่ 0xffffffff.

แฟ้มรีจิสทรีของตัวอย่าง

ตัวอย่างที่สองของเนื้อหาของแฟ้มรีจิสทรีสำหรับการตั้งค่าคอนฟิกไว้ในส่วนของบทความนี้ พวกเขากำลัง Export.reg และ export.reg ที่ไม่ใช่

ในคอมพิวเตอร์ ที่กำลังเรียกใช้การ 6 Service Pack 4.0 Windows NT Rasbase.dll ที่สามารถส่งออก และใช้แฟ้ม Schannel.dll, Export.reg เพื่อให้แน่ใจว่า เฉพาะ FIPS 1.0 TLS cipher ชุดโปรแกรมที่เรียกใช้ โดยคอมพิวเตอร์

ในคอมพิวเตอร์ที่กำลังเรียกใช้ Windows NT 6 Service Pack ของ 4.0 ที่มี Rasenh.dll ที่ไม่สามารถส่งออก และใช้แฟ้ม Schannel.dll, export.reg ที่ไม่ใช่เพื่อให้แน่ใจว่า เฉพาะ FIPS 1.0 TLS cipher ชุดโปรแกรมที่เรียกใช้ โดยคอมพิวเตอร์

สำหรับแฟ้ม Schannel.dll การรับรู้การเปลี่ยนแปลงใด ๆ ภายใต้คีย์รีจิสทรี SCHANNEL คุณต้องรีสตาร์ทคอมพิวเตอร์

เมื่อต้องการคืนค่ารีจิสทรีเป็นค่าเริ่มต้น ลบคีย์รีจิสทรี SCHANNEL และสิ่งต่าง ๆ ที่อยู่ภายใต้ ถ้าไม่มีคีย์รีจิสทรีเหล่านี้อยู่ Schannel.dll การสร้างแป้นเมื่อคุณรีสตาร์ทเครื่องคอมพิวเตอร์

คุณสมบัติ

หมายเลขบทความ (Article ID): 245030 - รีวิวครั้งสุดท้าย: 12 ธันวาคม 2556 - Revision: 9.0
ใช้กับ
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Keywords: 
kbenv kbinfo kbmt KB245030 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:245030

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com