如何限制使用特定的密碼編譯演算法及 Schannel.dll 中的通訊協定

文章翻譯 文章翻譯
文章編號: 245030 - 檢視此文章適用的產品。
更高版本的 Windows
登錄機碼,並在 Windows Server 2008,Windows 7 和 Windows Server 2008 R2 其內容看起來不同於 Windows Server 2003 和舊版中的登錄機碼。Windows 7,Windows Server 2008,和 Windows Server 20008 R2 以及它的預設內容中的登錄位置如下所示:
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel
"EventLogging"= dword:00000001
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001

此內容會顯示在標準 REGEDIT 匯出格式。

注意
  • 無值或子機碼,應包含加密金鑰。
  • CipherSuites 機碼應該包含任何值或子機碼。
  • 無值或子機碼,應包含雜湊索引鍵。
  • KeyExchangeAlgorithms 機碼應該包含任何值或子機碼。
  • 下列子機碼和值,應包含通訊協定機碼:
    • 通訊協定
      • SSL 2.0
        • 用戶端
          • DisabledByDefault REG_DWORD 0x00000001 (值)
Windows Server 2008 支援以下的通訊協定:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 和 Windows 7 會支援下列通訊協定:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
可以停用這些通訊協定,為伺服器或用戶端架構。這表示通訊協定可以省略,或者停用,如下所示:
  • 從支援的通訊協定啟動 SSL 連線時,在用戶端 Hello 所包含的清單,才能省略通訊協定。
  • 可以在伺服器上停用通訊協定,使伺服器將不會使用該通訊協定,即使在用戶端要求 SSL 2.0 的方式回應。
用戶端和伺服器子機碼指定每個通訊協定。您可以用戶端或伺服器停用通訊協定。不過,停用加密、 雜湊或 CipherSuites 會影響用戶端和伺服器端。您必須建立在 [要達到此目的的通訊協定索引鍵] 下的必要子機碼。舉例如下:
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2\Server
建立子機碼之後,登錄會顯示如下:

摺疊此圖像展開此圖像
2880599


根據預設,用戶端 SSL 2.0 中已停用 Windows Server 2008,Windows Server 2008 R2,Windows 7。這表示電腦將不使用 SSL 2.0,啟動用戶端 Hello。因此,登錄就會顯示,如下所示:

摺疊此圖像展開此圖像
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001
完全一樣破解密碼和 KeyExchangeAlgorithms,可以啟用或停用通訊協定。若要停用其他通訊協定,請選取您要停用通訊協定,然後再新增對話方 "啟用"= dword:00000000 值。下列範例會停用伺服器,也 SSL 2.0 SSL 2.0,用戶端。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Server
"啟用"= dword:00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
您不要採取此動作之後,您必須重新啟動伺服器。
全部展開 | 全部摺疊

在此頁中

結論

本文說明如何限制使用特定的密碼編譯演算法和 Schannel.dll 檔案中的通訊協定。這項資訊也適用於獨立軟體廠商 (ISV) 應用程式所寫入的 Microsoft 密碼編譯 API (CAPI)。

附註將套用到 Windows Server 2008 及更新版本的 Windows 版本的登錄機碼,請參閱"的較新版本的 Windows 」 一節。

其他相關資訊

下列密碼編譯服務提供者 (Csp) 所隨附 Windows NT 4.0 Service Pack 6 所獲得的憑證 FIPS 140-1 密碼編譯驗證:
  • Microsoft 基底密碼編譯提供者 (Rsabase.dll)
  • 提供 Microsoft 增強型密碼編譯者 (Rsaenh.dll) (非匯出版本)
Microsoft TLS/SSL 安全性提供者,Schannel.dll 檔案中,使用透過 SSL 或 TLS 進行安全通訊,在 Internet Explorer 和網際網路資訊服務 (IIS) 支援此處所列的 Csp。

您可以變更要支援加密套件 1 和 2 的 Schannel.dll 檔案。不過,程式也必須支援加密套件 1 和 2。在 IIS 4.0 和 5.0 不支援加密套件 1 和 2。

本文包含設定 TLS/SSL 安全性提供者的 Windows NT 4.0 Service Pack 6 和更新版本所需的資訊。您可以使用 Windows 登錄來控制特定 SSL 3.0 或 TLS 1.0 加密套件與基底密碼編譯提供者或增強型密碼編譯提供者支援的密碼編譯演算法使用。

附註在 Windows NT 4.0 Service Pack 6 中,Schannel.dll 檔案並不使用 Microsoft 基底 DSS 提供密碼編譯者 (Dssbase.dll) 或提供 Microsoft DS/Diffie-hellman 增強型密碼編譯者 (Dssenh.dll)。

加密套件

這兩個 SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) 和網際網路草稿 」 56 位元匯出加密套件的 TLS draft-ietf-tls-56-bit-ciphersuites-00.txt"的 TLS 1.0 (RFC2246) 提供選項,以使用不同的加密套件。每個加密套件會決定金鑰交換、 驗證、 加密以及使用 SSL/TLS 工作階段中的 MAC 演算法。請注意當您使用 RSA 金鑰交換和驗證演算法,一詞RSA出現相對應的加密套件定義中只有一次。

當您使用基底密碼編譯提供者] 或 [增強型密碼編譯提供者,Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者支援下列 SSL 3.0 定義"CipherSuite":
摺疊此表格展開此表格
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00,0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00,0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00,0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00,0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00,0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00,0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00,0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00,0x64}
附註SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA 和 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA 都不被定義在 SSL 3.0 文字。然而,許多的 SSL 3.0 廠商支援它們。這包括 Microsoft。

當您使用的基底密碼編譯提供者或增強型密碼編譯提供者時,Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者也支援下列 TLS 1.0 定義"CipherSuite":

摺疊此表格展開此表格
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00,0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00,0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00,0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00,0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00,0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00,0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00,0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00,0x64}
附註定義使用 「 0x00 」 的第一個位元組的加密套件非私用,而且用於開啟具互通性的通訊。因此,Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者會遵循這些加密套件使用 SSL 3.0 和 TLS 1.0 中所指定,以確保互通性的程序。

Schannel 特定登錄機碼

重要這個章節、 方法或工作包含告訴您如何修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
附註破解密碼的索引鍵或雜湊機碼的內容的任何變更立即生效,而不需重新啟動系統。

SCHANNEL 索引鍵

啟動登錄編輯器 (Regedt32.exe),然後找出下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols 子機碼

若要啟用系統,才能使用將不會交涉,預設情況下 (例如 TLS 1.1 和 TLS 1.2) 通訊協定,請變更 DWORD 值的資料的DisabledByDefault值為0x0的通訊協定機碼下的下列登錄機碼中:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
警告通訊協定機碼下的登錄機碼中的 DisabledByDefault 值不會優先於在包含 Schannel 認證資料的 SCHANNEL_CRED 結構中定義的 grbitEnabledProtocols 值。

SCHANNEL\Ciphers 子機碼

SCHANNEL 機碼下的破解密碼的登錄機碼用來控制的 DES 的 RC4 對稱演算法使用。下列是有效的登錄機碼,在破解密碼的機碼之下。
SCHANNEL\Ciphers\RC4 128/128 子機碼
RC4 128/128

這個子機碼指的是 128 位元 RC4。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.或者,您也可以變更 DWORD 數值資料 0x0.如果您不設定已啟用的值,預設為啟用。這個登錄機碼不會套用到沒有 SGC 認証匯出伺服器。

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
168 168 方式 SCHANNEL\Ciphers\Triple DES 子機碼
三重 DES 168

這個登錄機碼指的是 ANSI X9.52 和草稿 FIPS 46-3 中所指定的 168 位元三重 DES。這個登錄機碼不會套用到匯出的版本。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.或者,您也可以將 DWORD 資料變更為 0x0.如果您不設定已啟用的值,預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 子機碼
RC2 128/128

這個登錄機碼指的是 128 位元 RC2。它不會套用到匯出的版本。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

SCHANNEL\Ciphers\RC4 64/128 子機碼
RC4 64/128

這個登錄機碼指的是 64 位元 RC4。它並不適用於匯出版本 (但在 Microsoft Money 中使用)。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

SCHANNEL\Ciphers\RC4 56/128 子機碼
RC4 56/128

這個登錄機碼指的是 56 位元 RC4。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

有效地停用此演算法不允許下列:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 子機碼
RC2 56/128

這個登錄機碼指的是 56 位元 RC2。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

SCHANNEL\Ciphers\RC2 56/56 子機碼

DES 56

這個登錄機碼指的是 FIPS 46-2 中所指定的 56 位元 DES。Rsabase.dll 和 Rsaenh.dll 檔案在其實作會驗證在 FIPS 140-1 密碼編譯模組驗證程式。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 子機碼

RC4 40/128

這是指 40 位元 RC4。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 子機碼

RC2 40/128

這個登錄機碼指的是 40 位元 RC2。

若要允許這個加密演算法,請變更 [DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.如果您不設定已啟用的值,預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL 子機碼

NULL

這個登錄機碼表示沒有加密。根據預設,它已關閉。

若要關閉加密 (不允許所有的密碼演算法),變更 DWORD 值的資料要啟用值 0xffffffff.否則,變更 [DWORD 值資料 0x0.

雜湊 SCHANNEL/子機碼

SCHANNEL 機碼下的雜湊登錄機碼用來控制的 sha-1 的 MD5 雜湊演算法使用。下列是有效的登錄機碼,在雜湊機碼之下。

SCHANNEL\Hashes\MD5 子機碼

MD5

若要允許這個雜湊演算法,將 DWORD 數值資料的 Enabled 值變更為預設值 0xffffffff.否則,變更 [DWORD 值資料 0x0.

有效地停用此演算法不允許下列:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA 子機碼

SHA

這個登錄機碼是指安全雜湊演算法 (sha-1),指定在 FIPS 180-1。Rsabase.dll 和 Rsaenh.dll 檔案在其實作會驗證在 FIPS 140-1 密碼編譯模組驗證程式。

若要允許這個雜湊演算法,將 DWORD 數值資料的 Enabled 值變更為預設值 0xffffffff.否則,變更 [DWORD 值資料 0x0.

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms 子機碼

SCHANNEL 機碼下的 KeyExchangeAlgorithms 登錄機碼用來控制例如 RSA 金鑰交換演算法的使用。下列是有效的登錄機碼,在 KeyExchangeAlgorithms 機碼之下。

SCHANNEL\KeyExchangeAlgorithms\PKCS 子機碼
PKCS

這個登錄機碼稱之為 RSA 金鑰交換和驗證演算法。

若要允許 RSA,將 DWORD 數值資料的 Enabled 值變更為預設值 0xffffffff.否則,將 DWORD 資料變更為 0x0.

有效地停用 RSA 不允許所有 RSA 架構 SSL 及 TLS 加密套件 Windows NT4 SP6 Microsoft TLS/SSL 安全性提供者所支援。

FIPS 140-1 加密套件

若要使用只有那些 SSL 3.0 或 TLS 1.0 加密套件 FIPS 46-3 或 FIPS 46-2 和 fips 180 1 由 Microsoft 或增強型密碼編譯提供者提供對應。

本篇文章中,我們稱它們為 FIPS 140-1 加密套件。具體來說,它們是,如下所示:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
使用 FIPS 140-1 加密套件定義這裡和提供者支援的 Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性與基底密碼編譯提供者或提供增強型密碼編譯者,在下列登錄機碼,以設定 Enabled 值的 DWORD 值資料 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
並設定下列的登錄機碼,以啟用值的 DWORD 數值資料 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[不適用於匯出版本]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

使用 FIPS 140-1 加密套件的主要秘密計算

使用 FIPS 140-1 cipher SSL 3.0 中的套件和不同的程序使用中 TLS 1.0 的 FIPS 140-1 加密套件的程序。

在 SSL 3.0 中,以下是定義 master_secret 計算:

在 TLS 1.0 中,以下是定義 master_secret 計算:

其中:

選取選項以用於 TLS 1.0 的 FIPS 140-1 加密套件:

因為此差異性,客戶可能想要禁止使用 SSL 3.0,即使允許的組加密套件是限制為只的 FIPS 140-1 加密套件的子集。在這種情況下,變更 [DWORD 值的資料要啟用值 0x0 在 [通訊協定機碼下的下列登錄機碼:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
警告已啟用的數值資料,這些通訊協定機碼下的登錄機碼中的優先於在包含 Schannel 認證資料的 SCHANNEL_CRED 結構中定義的 grbitEnabledProtocols 值。預設已啟用數值資料是 0xffffffff.

範例登錄檔

發行項的這一節中會提供兩個設定的登錄檔案內容的範例。它們是 Export.reg 和非 export.reg。

在電腦中執行 Windows NT 4.0 Service Pack 6 與可匯出的 Rasbase.dll 和 Schannel.dll 檔案,執行 Export.reg,以確定 TLS 1.0 FIPS 密碼套件由電腦。

正在執行 Windows NT 4.0 Service Pack 6 的電腦] 中包含非可匯出的 Rasenh.dll 和 Schannel.dll 檔案,執行非-export.reg,以確定 TLS 1.0 FIPS 密碼套件由電腦。

Schannel.dll 檔案,辨識 SCHANNEL 登錄機碼下的任何變更,您必須重新啟動電腦。

若要回復為預設值的登錄設定,請刪除 SCHANNEL 登錄機碼,並在它之下的所有項目。如果這些登錄機碼不存在,Schannel.dll 會重建索引鍵,當您重新啟動電腦。

屬性

文章編號: 245030 - 上次校閱: 2013年12月12日 - 版次: 8.0
這篇文章中的資訊適用於:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
關鍵字:?
kbenv kbinfo kbmt KB245030 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:245030
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com