Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Die Verwendung bestimmter kryptografischer Algorithmen und Protokolle Schannel.dll einschränken

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 245030
Zusammenfassung
Dieser Artikel beschreibt die Verwendung bestimmter kryptografischer Algorithmen und Protokolle in die Datei Schannel.dll einschränken. Diese Informationen gelten auch für independent Software Vendor (ISV) Anwendung, die für den Microsoft Cryptographic API (CAPI) geschrieben werden.

Hinweis Registrierungsschlüssel, die für Windows Server 2008 und höhere Versionen von Windows gelten, finden Sie im Abschnitt "für höhere Versionen von Windows".
Weitere Informationen
Die folgenden Kryptografiedienstanbieter (CSP), die mit Windows NT 4.0 Service Pack 6 wurden die Zertifikate für FIPS 140-1 Crypto-Validierung:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) (kein Export Version)
TLS/SSL Security Provider die Datei Schannel.dll verwendet einen Kryptografiedienstanbieter, die hier aufgeführt sind, um sichere Kommunikation über SSL oder TLS unterstützt Internet Explorer und Internet Information Services (IIS) durchführen.

Sie können die Datei Schannel.dll Verschlüsselungssammlung 1 und 2 Unterstützung ändern. Die Anwendung muss jedoch auch Verschlüsselungssammlung 1 und 2 unterstützen. Verschlüsselungssammlung 1 und 2 werden in IIS 4.0 und 5.0 nicht unterstützt.

Dieser Artikel enthält die erforderlichen Informationen zum Konfigurieren von TLS/SSL Security Provider für Windows NT 4.0 Service Pack 6 und höher. Die Windows-Registrierung können Sie die Verwendung von bestimmten SSL 3.0 oder TLS 1.0 Verschlüsselungssammlungen hinsichtlich der kryptografischen Algorithmen steuern, Base Cryptographic Provider oder Enhanced Cryptographic Provider unterstützt werden.

Hinweis In Windows NT 4.0 Service Pack 6 verwenden die Datei Schannel.dll nicht Microsoft Base DSS Cryptographic Provider ("Dssbase.dll") oder die Microsoft DS/Diffie-Hellman-Enhanced Cryptographic Provider (Dssenh.dll).

Verschlüsselungsverfahren

Beide SSL 3.0 ()http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) und TLS 1.0 (RFC2246) mit INTERNETENTWURF "56-Bit-Export Cipher Suites für TLS Draft-ietf-tls-56-bit-ciphersuites-00.txt" andere Verschlüsselungsverfahren verwendet. Jede Verschlüsselungssammlung bestimmt den Schlüsselaustausch, Authentifizierung, Verschlüsselung und MAC-Algorithmen, die SSL/TLS-Sitzung verwendet werden. Daraufhin bei Verwendung von RSA Key Exchange und Authentifizierungsalgorithmen der Begriff RSA nur einmal in die entsprechenden Cipher Suite Definitionen wird angezeigt.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt die folgenden SSL 3.0 definierten "CipherSuite", wenn Sie Base Cryptographic Provider oder Enhanced Cryptographic Provider:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
SSL_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
SSL_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
SSL_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
Hinweis Weder SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA noch SSL_RSA_EXPORT1024_WITH_RC4_56_SHA ist SSL 3.0 Text definiert. Allerdings werden sie von mehreren SSL 3.0-Lieferanten unterstützt. Microsoft eingeschlossen.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt auch die folgenden TLS 1.0 definiert "CipherSuite", wenn Sie Base Cryptographic Provider oder Enhanced Cryptographic Provider verwenden:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
TLS_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
TLS_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
TLS_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
Hinweis Eine Verschlüsselungssuite definiert ist, indem das erste Byte "0 x 00" ist nicht privat und für offene interoperable Kommunikation verwendet. Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider folgt daher wie diese Verschlüsselungsverfahren SSL 3.0 und TLS 1.0 um Interoperabilität sicherzustellen.

Schannel-spezifische Registrierungsschlüssel

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Für zusätzlichen Schutz, sichern Sie die Registry, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Wie Sie die Registrierung in Windows sichern und wiederherstellen können?
Hinweis Änderungen auf den Inhalt der CHIFFREN Taste bzw. HASHES wirksam sofort, ohne einen Neustart des Systems.

SCHANNEL-Schlüssel

Starten Sie Registrierungseditor (Regedt32.exe) zu, und suchen Sie den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols-Unterschlüssel

Damit das System die Protokolle verwenden kann, die nicht standardmäßig ausgehandelt werden (beispielsweise TLS 1.1 oder TLS 1.2), ändern Sie im folgenden Registrierungsschlüssel unter dem Schlüssel "Protocols" den DWORD-Wert DisabledByDefault in 0x :
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Warnung Der DisabledByDefault-Wert im Registrierungsschlüssel unter dem Schlüssel Protokolle ist nicht GrbitEnabledProtocols Wert Vorrang, die in der SCHANNEL_CRED definiert ist, die Daten für Schannel Anmeldeinformationen enthält.

SCHANNEL\Ciphers-Unterschlüssel

Chiffren Registrierungsschlüssel unter dem Schlüssel SCHANNEL zum Verwenden von symmetrischen Algorithmen wie DES und RC4 steuern. Folgende sind gültige Registrierungsschlüssel unter dem Schlüssel Chiffren.
SCHANNEL\Ciphers\RC4 128/128 Unterschlüssel
RC4 128-128

Dieser Unterschlüssel verweist auf 128-Bit RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Oder ändern den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert. Registrierungsschlüssel nicht exportierbar Server gilt kein SGC-Zertifikat.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Triple DES 168

Dieser Registrierungsschlüssel verweist auf 168-Bit-Triple DES ANSI-X9.52 und Entwurf FIPS 46-3 angegeben. Dieser Registrierungsschlüssel gilt nicht für Exportversion.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Oder ändern Sie die DWORD-Daten 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Hinweis Für Versionen von Windows vor Windows Vista gibt, sollte der Schlüssel Triple DES 168/168.
SCHANNEL\Ciphers\RC2 128/128 Unterschlüssel
RC2 128-128

Dieser Registrierungsschlüssel verweist auf 128-Bit-RC2. Es gilt nicht für Exportversion.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 64/128 Unterschlüssel
RC4 64/128

Dieser Registrierungsschlüssel verweist auf 64-Bit-RC4. Es gilt nicht für Exportversion (aber in Microsoft Money verwendet wird).

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 56/128 Unterschlüssel
RC4 56-128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 Unterschlüssel
RC2 56-128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC2.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC2 56 und 56 Unterschlüssel

DES 56

Dieser Registrierungsschlüssel verweist auf 56-Bit DES gemäß FIPS 46-2. Die Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wird unter FIPS 140-1 kryptografische Modul Validierungsprogramm überprüft.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 Unterschlüssel

RC4 40-128

Dies bezieht sich auf 40-Bit RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 Unterschlüssel

RC2 40-128

Dieser Registrierungsschlüssel verweist auf 40-Bit-RC2.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL-Unterschlüssel

NULL

Dieser Registrierungsschlüssel ist keine Verschlüsselung. Standardmäßig ist sie deaktiviert.

So deaktivieren Sie Encryption (Sperren alle Verschlüsselungsalgorithmen), ändern den DWORD-Wert den Wert aktiviert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0.

SCHANNEL-Hashes Unterschlüssel

Hashes Registrierungsschlüssel unter dem Schlüssel SCHANNEL zum Steuern der Verwendung von Hashalgorithmen MD5 oder SHA-1. Folgende sind gültige Registrierungsschlüssel unter dem Schlüssel Hashes.

SCHANNEL\Hashes\MD5-Unterschlüssel

MD5

Um diesen Hashingalgorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert den Standardwert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA-Unterschlüssel

SHA

Dieser Registrierungsschlüssel verweist auf Secure Hash Algorithm (SHA-1) gemäß FIPS 180-1. Die Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wird unter FIPS 140-1 kryptografische Modul Validierungsprogramm überprüft.

Um diesen Hashingalgorithmus zu ermöglichen, ändern Sie den DWORD-Wert den Wert aktiviert den Standardwert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD-Wert an 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Unterschlüssel SCHANNEL-KeyExchangeAlgorithms

Der Registrierungsschlüssel KeyExchangeAlgorithms SCHANNEL Schlüssel zum Steuern der Verwendung von Algorithmen wie RSA Key Exchange. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS-Unterschlüssel
PKCS

Dieser Registrierungsschlüssel verweist auf RSA als die Schlüsselalgorithmen Austausch und die Authentifizierung.

Damit kann RSA ändern Sie den DWORD-Wert Enabled-Wert auf den Standardwert 0xFFFFFFFF. Andernfalls ändern Sie den DWORD 0 x 0.

Deaktivieren von RSA effektiv lässt alle RSA-basierten SSL und TLS Verschlüsselungssammlungen Windows NT4 SP6 Microsoft TLS/SSL Security Provider unterstützt.

FIPS 140-1 Verschlüsselungssammlungen

Sie möchten nur die Verschlüsselungsverfahren SSL 3.0 oder TLS 1.0 verwenden, die FIPS 46 3 oder FIPS 46 2 und FIPS 180 1 von Microsoft Base oder Enhanced Cryptographic Provider bereitgestellten Algorithmen entsprechen.

In diesem Artikel sprechen wir Ihnen FIPS 140-1-Verschlüsselungsverfahren. Insbesondere sind wie folgt:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Nur FIPS 140-1 Verschlüsselungssammlungen definiert hier und von Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL-Sicherheitsanbieter Base Cryptographic Provider oder der Enhanced Cryptographic Provider unterstützt die Daten DWORD-Wert der aktiviert in die folgenden Registrierungsschlüssel konfigurieren 0 x 0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Und die Daten DWORD-Wert den Wert aktiviert die folgenden Registrierungsschlüssel konfigurieren 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56 und 56
  • SCHANNEL\Ciphers\Triple DES 168-168"[Export Version nicht zutreffend]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Master geheimen Berechnung mit FIPS 140-1 Verschlüsselungssammlungen

Die Verfahren für die Verwendung von FIPS 140-1 Cipher Suites SSL 3.0 von TLS 1.0 FIPS 140-1 Verschlüsselungsverfahren wie unterscheiden.

SSL 3.0 ist folgende Berechnung Master_secret Definition:

TLS 1.0 wird folgende Berechnung Master_secret Definition:

Wo:

Die Option nur FIPS 140-1 Verschlüsselungssammlungen TLS 1.0 verwenden:

Wegen dieses Unterschieds möchten Kunden SSL 3.0 untersagen Obwohl festgelegten zulässigen Verschlüsselungssammlungen nur die Teilmenge der FIPS 140-1 Verschlüsselungssammlungen beschränkt. In diesem Fall ändern Sie den DWORD-Wert den Wert aktiviert 0 x 0 in den folgenden Registrierungsschlüssel unter dem Schlüssel Protokolle:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Warnung Aktiviert-Wertdaten in diesen Registrierungsschlüssel unter dem Schlüssel Protokolle Vorrang vor den GrbitEnabledProtocols-Wert, der in der SCHANNEL_CRED definiert ist, die Daten für Schannel Anmeldeinformationen enthält. Der Standardwert aktiviert lautet 0xFFFFFFFF.

Beispiel-Registrierungsdateien

In diesem Artikel werden Beispiele Registrierung Inhalt für Konfiguration bereitgestellt. Sie sind Export.reg und nicht export.reg.

Auf einem Computer, der Windows NT 4.0 Service Pack 6 mit exportierbaren Rasbase.dll ausgeführt wird und Schannel.dll Dateien führen Sie Export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS Suites Cipher wird vom Computer.

In einem Computer mit Windows NT 4.0 Service Pack 6 enthält, die nicht exportierbaren Rasenh.dll und Schannel.dll Dateien, Ausführen von nicht-export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS Suites Cipher wird vom Computer.

Änderungen unter dem Registrierungsschlüssel SCHANNEL erkennt die Datei Schannel.dll müssen Sie den Computer neu starten.

Um die Registrierungseinträge Standard zurückzukehren, Löschen der SCHANNEL-Registrierungsschlüssel und alle darunter Wenn dieser Registrierungsschlüssel nicht vorhanden sind, erstellt der Schannel.dll Schlüssel beim Neustart des Computers.
Höhere Versionen von Windows
Die Registrierungsschlüssel und ihre Inhalte in Windows Server 2008, Windows 7 und Windows Server 2008 R2 aussehen die Registrierungsschlüssel in Windows Server 2003 und früheren Versionen anders. Der Registrierungsschlüssel in Windows 7, Windows Server 2008 und Windows Server 20008 R2 und den Standardinhalt lauten wie folgt:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Dieser Inhalt wird im Standardformat REGEDIT exportieren angezeigt.

Hinweise
  • Der Chiffre Schlüssel sollten keine Werte oder Unterschlüssel enthalten.
  • Der Schlüssel CipherSuites sollte keine Werte oder Unterschlüssel enthalten.
  • Der Hash-Schlüssel sollte keine Werte oder Unterschlüssel enthalten.
  • Der Schlüssel KeyExchangeAlgorithms sollte keine Werte oder Unterschlüssel enthalten.
  • Protokolle Schlüssel sollte dem folgenden Unterschlüssel und Wert enthalten:
    • Protokolle
      • SSL 2.0
        • Client
          • DisabledByDefault REG_DWORD 0 x 00000001 (Wert)
Windows Server 2008 unterstützt die folgenden Protokolle:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 und Windows 7 unterstützt die folgenden Protokolle:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Diese Protokolle können für den Server oder Client-Architektur deaktiviert werden. Dies bedeutet das Protokoll fehlt oder wie folgt deaktiviert:
  • Das Protokoll werden aus der Liste der unterstützten Protokolle weggelassen, die in den Client Hello enthalten sind, wenn eine SSL-Verbindung gestartet wird.
  • Das Protokoll kann auf dem Server deaktiviert werden, damit der Server nicht antwortet, mithilfe dieses Protokolls, auch wenn eine SSL 2.0 Clientanforderung.
Die Client- und Unterschlüssel bestimmen jedes Protokoll. Sie können ein Protokoll für den Client oder den Server deaktivieren. Deaktivieren Chiffren Hashes oder CipherSuites beeinflusst jedoch Clients und Servern. Sie müssten erforderlichen Unterschlüssel unter dem Schlüssel Protokolle zu erstellen. Beispiel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Nachdem die Unterschlüssel erstellt wurden, wird die Registrierung wie folgt angezeigt:



Client SSL 2.0 ist in Windows Server 2008, Windows Server 2008 R2 und Windows 7 deaktiviert. Dies bedeutet, dass der Computer zu einem Client Hello nicht SSL 2.0 verwenden. Daher wird die Registrierung wie folgt angezeigt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Chiffren und KeyExchangeAlgorithms können Protokolle aktiviert oder deaktiviert. Zum Aktivieren oder deaktivieren ein Protokoll wie SSL 2.0, legen Sie die folgenden Werte in der Registrierung auf dem Client und dem Server.

Hinweis Zum Aktivieren oder Deaktivieren von SSL 2.0 müssen Sie dies sowohl beim Client als auch beim Server tun.

Der Registrierungsschlüssel für SSL 2.0 auf dem Clientcomputer lautet wie folgt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Der Registrierungsschlüssel für SSL 2.0 auf dem Server lautet wie folgt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Gehen Sie folgendermaßen vor, um SSL 2.0 zu aktivieren:
  1. Auf dem Client-Computer eingestellt DisabledByDefault DWORD auf 00000000.
  2. Legen Sie auf dem Servercomputer aktiviert DWORD-Wert auf 0xffffffff.
  3. Starten Sie den Computer erneut.
Gehen Sie folgendermaßen vor, um SSL 2.0 zu deaktivieren:
  • Auf dem Client-Computer eingestellt DisabledByDefault DWORD in 00000001.
  • Legen Sie auf dem Servercomputer aktiviert DWORD-Wert auf 00000000.
  • Starten Sie den Computer erneut.

Hinweise
  • Mit der Enabled = 0 x 0 Registrierung deaktiviert das Protokoll. Diese Einstellung kann nicht überschrieben und in der Struktur GrbitEnabledProtocols aktiviert.
  • Mithilfe der DisabledByDefault -Registrierungseintrag verhindert nur das Protokoll des Befehls Hello über dieses Protokoll beim Initiieren einer SSL-Verbindungs mit einem Server. Diese Einstellung kann überschrieben und daher, wenn in der GrbitEnabledProtocols enthalten ist.
  • Um ein Protokoll zu verhindern, verwenden Sie die aktiviert = 0 x 0 festlegen.
SP6

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 245030 – Letzte Überarbeitung: 06/11/2016 04:05:00 – Revision: 12.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtde
Feedback
/html>