Bazı şifreleme algoritmaları ve protokollerinin Schannel.dll dosyasında kullanımını sınırlama hakkında

Makale çevirileri Makale çevirileri
Makale numarası: 245030 - Bu makalenin geçerli olduğu ürünleri görün.
Windows'un sonraki sürümleri
Kayıt defteri anahtarları ve içeriklerini Windows Server 2008, Windows 7 ve Windows Server 2008 R2, Windows Server 2003 ve önceki sürümlerinde kayıt defteri anahtarlarındaki'den farklı görünüyor. Kayıt defteri konumu Windows 7, Windows Server 2008 ve Windows Server 20008 R2 ve varsayılan içeriği aşağıdaki gibidir:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

Bu içerik, standart REGEDIT verme biçiminde görüntülenir.

Notlar
  • Şifrelerin anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • Şifreleme paketleri anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • Karma anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • KeyExchangeAlgorithms anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • İletişim kuralları bu anahtar aşağıdaki alt anahtarlar ve değer içermelidir:
    • İletişim kuralları
      • SSL 2.0
        • İstemci
          • DisabledByDefault REG_DWORD 0x00000001 (değer)
Windows Server 2008 aşağıdaki protokolleri destekler:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 ve Windows 7 aşağıdaki protokolleri destekler:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Bu iletişim kuralları sunucu veya istemci mimarisi için devre dışı bırakılabilir. Bu iletişim kuralı atlanmış veya aşağıdaki şekilde devre dışı anlamına gelir:
  • İletişim kuralı SSL bağlantısı başladığında, istemci Merhaba dahil desteklenen protokolleri listesinden atlanabilir.
  • Böylece istemci, SSL 2.0 istese bile, iletişim kuralı kullanılarak sunucu yanıt vermez Protokolü sunucuda devre dışı bırakılabilir.
İstemci ve sunucu anahtarlarını her iletişim kuralı atayın. İstemci veya sunucu için bir iletişim kuralı devre dışı bırakabilirsiniz. Ancak, şifreleri, karma veya şifreleme paketleri devre dışı bırakılması, hem istemci hem de sunucu taraflı etkiler. Bunu başarmak için protokolleri anahtarı altında gerekli alt anahtarları oluşturmak gerekir. Örneğin:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Kayıt defteri alt anahtarlarını oluşturduktan sonra aşağıdaki gibi görüntülenir:

Bu resmi kapatBu resmi aç
2880599


Varsayılan olarak, istemci SSL 2.0 Windows Server 2008, Windows Server 2008 R2 ve Windows 7'de devre dışı bırakılır. Bu bilgisayarı SSL 2.0 bir istemci Merhaba başlatmak için kullanacağı değil anlamına gelir. Bu nedenle, kayıt defterinde aşağıdaki gibi görüntülenir:

Bu resmi kapatBu resmi aç
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
Şifreleri ve tam olarak KeyExchangeAlgorithms gibi iletişim kurallarının etkin veya devre dışı. Diğer iletişim kurallarını devre dışı bırakmak istediğiniz iletişim kuralı devre dışı bırakın ve sonra eklemek konuşma tarafını seçin. "Etkin" = dword: 00000000 değer. Devre dışı aşağıdaki örnek SSL 2.0 sunucu ve SSL 2.0 için ayrıca istemci için bırakır.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Etkin" = dword: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
Bu eylemi uyguladıktan sonra sunucuyu yeniden başlatmanız gerekir.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, belirli şifreleme algoritmaları ve protokollerinin Schannel.dll dosyasında kullanımını sınırlamak nasıl açıklanır.Bu bilgiler Microsoft Şifreleme API (CAPI) için yazılmış olan bağımsız yazılım satıcısı (ISV) uygulamaları için de geçerlidir.

Not Windows Server 2008 ve sonraki Windows sürümleri için geçerli kayıt defteri anahtarları için "için Windows'un sonraki sürümleri," bölümüne bakın.

Daha fazla bilgi

Windows NT 4.0 Service Pack 6 ile birlikte aşağıdaki şifreleme hizmeti sağlayıcıları (CSP) sertifikalarını ödüllendirildi FIPS 140-1 şifre doğrulama:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft Gelişmiş Şifreleme Sağlayıcısı (Rsaenh.dll) (olmayan ihraç sürümü)
Schannel.dll dosyasının Microsoft TLS/SSL güvenlik sağlayıcısı, Internet Explorer ve Internet Information Services (IIS) desteğini de SSL veya TLS güvenli iletişimi yürütmek için burada listelenen CSP'lerden kullanır.

Schannel.dll dosyasının şifre paketi 1 ve 2 destekleyecek şekilde değiştirebilirsiniz. Ancak, program şifre paketi 1 ve 2 de desteklemesi gerekir. Şifre paketi 1 ve 2 IIS 4.0 ve 5.0 sürümlerinde desteklenmez.

Bu makalede TLS/SSL güvenlik sağlayıcısı için Windows NT 4.0 Service Pack 6 ve sonraki sürümlerinde yapılandırmak için gerekli bilgileri içerir. Windows kayıt defteri, belirli SSL 3.0 veya TLS 1.0 şifre paketleri ile ilgili temel şifreleme sağlayıcısı veya Gelişmiş Şifreleme Sağlayıcısı tarafından desteklenen şifreleme algoritmaları kullanımını denetlemek için kullanabilirsiniz.

Not Windows NT 4.0 Service Pack 6 ' Schannel.dll dosyasının Microsoft Base DSS şifreleme sağlayıcısı (Dssbase.dll) veya Microsoft DS/Diffie-Hellman Gelişmiş Şifreleme Sağlayıcısı (Dssenh.dll) kullanmaz.

Şifre paketleri

Her iki SSL 3.0 ()http://www.Mozilla.org/Projects/Security/pki/nss/SSL/draft302.txt) ve Internet-Taslak "verme şifre paketleri için TLS draft-ietf-tls-56-bit-ciphersuites-00.txt 56-bit" ile TLS 1.0 (RFC2246) farklı şifre paketleri kullanmak için seçenekler sağlar. Her şifre paketi anahtar değişimi, kimlik doğrulama, şifreleme ve SSL/TLS oturumda kullanılan MAC algoritmaları belirler. RSA anahtar değişimi ve kimlik doğrulama algoritmaları kullandığınızda, bu terim RSA karşılık gelen şifre paketi tanımları içinde yalnızca bir kez göründü?üne dikkat edin.

Temel şifreleme sağlayıcısı veya Gelişmiş Şifreleme Sağlayıcısı kullanıldığında aşağıdaki SSL 3.0 tanımlanan "CipherSuite" Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı destekler:
Bu tabloyu kapaBu tabloyu aç
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00,0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Not Ne SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ne de SSL_RSA_EXPORT1024_WITH_RC4_56_SHA SSL 3.0 metin olarak tanımlanır. Ancak, birden fazla SSL 3.0 satıcı bunları destekler. Bu Microsoft içerir.

Temel şifreleme sağlayıcısı veya Gelişmiş Şifreleme Sağlayıcısı kullanırsanız, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı aşağıdaki TLS 1.0 tarafından tanımlanan "CipherSuite" de destekler:

Bu tabloyu kapaBu tabloyu aç
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00,0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Not İlk bayt "0x00" kullanılarak tanımlanmış bir şifre paketi, özel olmayan ve birlikte Aç iletişim için kullanılır. Bu nedenle, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı birlikte çalışabilirliği sağlamak için SSL 3.0 ve TLS 1.0 belirtildiği gibi bu şifre paketleri kullanarak yordamları takip eder.

Schannel özel kayıt defteri anahtarları

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Yedekleme ve Windows kayıt defterini geri yükleme hakkında
Not ŞİFRELERİN anahtar veya anahtar KARMALARINI içeriği için herhangi bir değişiklik hemen, sistem yeniden etkinleşir.

SCHANNEL anahtarı

Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın ve aşağıdaki kayıt defteri anahtarını bulun:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols alt anahtarı

Sistemi (örneğin, TLS 1.1 ve TLS 1.2) varsayılan olarak anlaşma yok iletişim kurallarını etkinleştirmek için DWORD değer verisini DisabledByDefault değer 0x0 protokolleri anahtarı altında aşağıdaki kayıt defteri anahtarlarındaki değiştirin:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Uyarı Protokoller anahtarı altındaki kayıt defteri anahtarlarını DisabledByDefault değerinde Schannel kimlik bilgisi verileri içeren SCHANNEL_CRED yapısı içinde tanımlanan grbitEnabledProtocols değer üzerinde öncelikli değildir.

SCHANNEL\Ciphers alt anahtarı

SCHANNEL anahtar şifreleri kayıt defteri anahtarında, DES ve RC4 gibi simetrik algoritmaları kullanımını denetlemek için kullanılır. Şifrelerin anahtarı altında geçerli kayıt defteri anahtarları şunlardır:
SCHANNEL\Ciphers\RC4 128/128 alt
RC4 128/128

Bu alt anahtar için 128-bit RC4 başvurur.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Veya DWORD değer verileri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir. Bu kayıt defteri anahtarı bir SGC sertifikası olmayan verilebilir bir sunucu için geçerli değildir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 alt
Üçlü DES 168

Bu kayıt defteri anahtarı 168 bit Triple DES ANSI X9.52 ve taslak FIPS 46-3'te belirtildiği gibi gösterir. Bu kayıt defteri anahtarı verme sürümü için geçerli değildir.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Veya DWORD veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 alt
RC2 128/128

Bu kayıt defteri anahtarı 128-bit RC2 sürümüne başvurur. İhraç sürümü için geçerli değildir.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

SCHANNEL\Ciphers\RC4 64/128 alt
RC4 64/128

Bu kayıt defteri anahtarı 64-bit RC4 başvurur. İhraç sürümü için geçerli değildir (ancak Microsoft Money kullanılır).

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

SCHANNEL\Ciphers\RC4 56/128 alt
RC4 56/128

Bu kayıt defteri anahtarı için 56 bitlik RC4 başvurur.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 alt
RC2 56/128

Bu kayıt defteri anahtarı 56 bitlik RC2 sürümüne başvurur.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

SCHANNEL\Ciphers\RC2 56/56 alt

DES 56

56-Bit DES FIPS 46-2'de belirtildiği gibi bu kayıt defteri anahtarı belirtir. FIPS 140-1 şifreleme modülünü doğrulama programı kapsamında Rsabase.dll ve Rsaenh.dll dosyalarını kendi oluşumunda doğrulanır.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 alt

RC4 40/128

Bu, 40-bit RC4 ifade eder.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 alt

RC2 40/128

Bu kayıt defteri anahtarı 40-bit RC2 sürümüne başvurur.

Bu şifreleme algoritması izin vermek için DWORD değer etkin değeri değiştirin 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL alt anahtarı

NULL

Bu kayıt defteri anahtarının şifreleme yok anlamına gelir. Varsayılan olarak kapalıdır.

Şifreleme devre dışı bırakmak için (tüm şifreleme algoritmaları izin verme), etkin değer DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0.

SCHANNEL/karma değerlerini alt

SCHANNEL anahtar karmalarını kayıt defteri anahtarında gibi SHA-1 ve MD5 karma algoritmalar kullanımını denetlemek için kullanılır. Karma anahtar altında geçerli kayıt defteri anahtarları şunlardır:

SCHANNEL\Hashes\MD5 alt anahtarı

MD5

Bu karma algoritma izin vermek için varsayılan değer olarak etkin değer DWORD değer verisini değiştirme 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA alt anahtarı

SHA

Bu kayıt defteri anahtarı güvenli karma algoritması için (SHA-1), FIPS 180-1'de belirtildiği gibi ifade eder. FIPS 140-1 şifreleme modülünü doğrulama programı kapsamında Rsabase.dll ve Rsaenh.dll dosyalarını kendi oluşumunda doğrulanır.

Bu karma algoritma izin vermek için varsayılan değer olarak etkin değer DWORD değer verisini değiştirme 0xFFFFFFFF. Aksi takdirde, DWORD değer için değiştirin 0x0.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms alt anahtarı

SCHANNEL anahtarının altındaki KeyExchangeAlgorithms kayıt defteri anahtarı, anahtar değişimi algoritmalarından RSA gibi kullanımını denetlemek için kullanılır. KeyExchangeAlgorithms anahtarı altında geçerli kayıt defteri anahtarları şunlardır:

SCHANNEL\KeyExchangeAlgorithms\PKCS alt anahtarı
PKCS

Bu kayıt defteri anahtarı için RSA anahtar değişimi ve doğrulaması algoritmaları gösterir.

RSA izin vermek için varsayılan değer olarak etkin değer DWORD değer verisini değiştirme 0xFFFFFFFF. Aksi takdirde, DWORD veri değiştirme 0x0.

RSA etkili şekilde devre dışı bırakma Windows NT4 SP6 Microsoft TLS/SSL güvenlik sağlayıcısı tarafından desteklenen RSA tabanlı tüm SSL ve TLS şifreleme paketlerine izin vermez.

FIPS 140-1 şifre paketleri

FIPS 46-3 veya FIPS 46 2 ve FIPS 180-1 algoritmaları Microsoft Base veya Gelişmiş Şifreleme Sağlayıcısı tarafından sağlanan karşılık gelen sadece bu SSL 3.0 veya TLS 1.0 şifre paketleri kullanmak isteyebilirsiniz.

Bu makalede, biz FIPS 140-1 şifre paketleri başvurmak. Özellikle, bunlar aşağıdadır:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
FIPS 140-1 şifre paketleri yalnızca tanımlandığı gibi burada Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı Microsoft Base Cryptographic Provider veya Gelişmiş Şifreleme Sağlayıcısı tarafından desteklenen etkin değerinin DWORD değer verisi için aşağıdaki kayıt defteri anahtarlarındaki kullanılacağı ve yapılandırılacağı 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
DWORD değeri verileri ve etkin değeri için aşağıdaki kayıt defteri anahtarlarındaki yapılandırmak 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[verme sürümü geçerli değil]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 şifre paketleri kullanarak ana gizli hesaplama

FIPS 140-1 şifre takımlarının TLS 1.0 kullanarak yordamları SSL 3.0 paketleri farklı FIPS 140-1 şifre kullanmak için yordam.

SSL 3. 0'da, tanım master_secret hesaplama aşağıdaki gibidir:

TLS 1. 0'da, tanım master_secret hesaplama aşağıdaki gibidir:

Burada:

FIPS 140-1 şifre paketleri yalnızca TLS 1.0 Kullan seçeneğini seçerek:

Bu fark, müşterilerin şifre paketleri izin verilen kümesi yalnızca alt kümesini FIPS 140-1 şifre paketleri için sınırlı olsa da SSL 3.0 kullanımını engellemek isteyebilirsiniz. Bu durumda, etkin değer DWORD değer verisini Değiştir 0x0 Aşağıdaki kayıt defteri anahtarlarında protokolleri anahtarı altında:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Uyarı Bu kayıt defteri anahtarları protokolleri anahtarı altında etkin değer verisinin Schannel kimlik bilgisi verileri içeren SCHANNEL_CRED yapısı içinde tanımlanan grbitEnabledProtocols değeri daha önceliklidir. Varsayılan değer verisidir etkin 0xFFFFFFFF.

Örnek kayıt defteri dosyaları

Makalenin bu bölümünde iki örnek yapılandırma için kayıt defteri dosyası içeriği sağlanır. Export.reg ve export.reg olmayan değildirler.

Bir bilgisayar, Windows NT 4.0 Service Pack 6 ile verilebilir Rasbase.dll çalışan ve bilgisayar tarafından kullanılan Schannel.dll dosyalar, yalnızca TLS 1.0 FIPS paketleri şifre emin olmak için Export.reg çalıştırın.

Schannel.dll dosyaları yalnızca TLS 1.0 FIPS paketleri şifre emin olmak için Non-export.reg çalıştırmak, bilgisayar tarafından kullanılır ve Windows NT 4.0 Service Pack 6 çalışan bir bilgisayarda, verilemeyen Rasenh.dll içerir.

Schannel.dll dosyasının SCHANNEL kayıt defteri anahtarı altındaki herhangi bir değişiklik tanıması bilgisayarınızı yeniden başlatmalısınız.

Kayıt defteri ayarlarını varsayılan ayarlarına dönmek için SCHANNEL kayıt defteri anahtarı ve altındaki her şeyi silin. Bu kayıt defteri anahtarları yoksa, bilgisayarı yeniden başlattığınızda Schannel.dll anahtarlar oluşturur.

Özellikler

Makale numarası: 245030 - Last Review: 12 Aralık 2013 Perşembe - Gözden geçirme: 11.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Anahtar Kelimeler: 
kbenv kbinfo kbmt KB245030 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 245030

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com