Cómo restringir el uso de ciertos algoritmos criptográficos y protocolos en Schannel.dll

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 245030
Resumen
Este artículo describe cómo restringir el uso de ciertos algoritmos criptográficos y protocolos en el archivo Schannel.dll. Esta información también se aplica a software independientes (ISV) de proveedor que las aplicaciones escritas para la API criptográfica de Microsoft (CAPI).

Nota: Claves del registro que se aplican a Windows Server 2008 y versiones posteriores de Windows, consulte la sección "para las versiones posteriores de Windows".
Más información
Los siguientes proveedores de servicios criptográficos (CSP) que se incluyen con Windows NT 4.0 Service Pack 6 se otorgaron los certificados para Validación de crypto FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) (versión de exportación no)
Proveedor de seguridad TLS/SSL de Microsoft, el archivo Schannel.dll, utiliza los CSP que se enumeran a continuación para realizar comunicaciones seguras a través de SSL o TLS en su compatibilidad con Internet Explorer y servicios de Internet Information Server (IIS).

Puede cambiar el archivo Schannel.dll para admitir el conjunto de cifrado 1 y 2. Sin embargo, el programa también debe admitir la Suite de Cipher 1 y 2. Conjunto de cifrado 1 y 2 no se admiten en IIS 4.0 y 5.0.

Este artículo contiene la información necesaria para configurar el TLS/SSL Security proveedor para Windows NT 4.0 Service Pack 6 y versiones posteriores. Puede utilizar el registro de Windows para controlar el uso de conjuntos de cifrado SSL 3.0 o TLS 1.0 específicas con respecto a los algoritmos de cifrado admitidos por el proveedor de cifrado de Base o Enhanced Cryptographic Provider.

Nota: En Windows NT 4.0 Service Pack 6, el archivo Schannel.dll no utiliza Microsoft Base DSS Cryptographic Provider (Dssbase.dll) o el Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.dll).

Conjuntos de cifrado

Tanto SSL 3.0 ()http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) y TLS 1.0 (RFC2246) con el borrador de INTERNET "conjuntos de cifrado de 56 bits exportación para TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" ofrecen opciones para usar conjuntos de cifrado diferente. Cada conjunto de cifrado determina el intercambio de claves, autenticación, cifrado y algoritmos MAC que se utilizan en una sesión SSL/TLS. Observe que cuando utiliza RSA como el intercambio de claves y algoritmos de autenticación, el término RSA aparece sólo una vez en las definiciones de conjunto de cifrado correspondiente.

El Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider admite el siguiente define SSL 3.0 "cifrado" cuando utiliza el proveedor de cifrado de Base o Enhanced Cryptographic Provider:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
SSL_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
SSL_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
SSL_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0x64}
Nota: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ni SSL_RSA_EXPORT1024_WITH_RC4_56_SHA se define en el texto de SSL 3.0. Sin embargo, varios proveedores SSL 3.0 admiten. Esto incluye Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider admite también la siguiente define TLS 1.0 "cifrado" cuando utiliza el proveedor de servicios criptográficos de Base o Enhanced Cryptographic Provider:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
TLS_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
TLS_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
TLS_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0x64}
Nota: Un conjunto de cifrado que se define utilizando el primer byte "0 x 00" es no privados y se utiliza para comunicaciones interoperables abiertas. Por lo tanto, el Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider sigue los procedimientos para el uso de estos conjuntos de cifrado como se especifica en SSL 3.0 y TLS 1.0 para asegurarse de la interoperabilidad.

Claves del Registro específicas de Schannel

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
Nota: Los cambios en el contenido de la clave de cifrado o la clave hash surtan efecto inmediatamente, sin reiniciar el sistema.

Clave SCHANNEL

Inicie el Editor del registro (Regedt32.exe) y, a continuación, busque la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Subclave de SCHANNEL\Protocols

Para habilitar el sistema para usar los protocolos que no se negociarán predeterminada (como TLS 1.1 y 1.2 de TLS), cambie los datos del valor DWORD del valor DisabledByDefault a 0 x 0 en las siguientes claves del registro bajo la clave de protocolos:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Advertencia: El valor de DisabledByDefault en las claves del registro bajo la clave de los protocolos no tienen prioridad sobre el valor de grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos de una credencial de Schannel.

Subclave de SCHANNEL\Ciphers

La clave de registro cifrados bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos simétricos como DES y RC4. Los siguientes son claves del registro válido en la clave de cifrado.
Subclave SCHANNEL\Ciphers\RC4 128/128
RC4 DE 128/128

Esta subclave se refiere a RC4 de 128 bits.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. O bien, cambie el valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado. Esta clave del registro no se aplica a un servidor exportable que no tiene un certificado SGC.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
DES triple 168

Esta clave del registro hace referencia a Triple DES de 168 bits como se especifica en ANSI X9.52 y borrador FIPS 46-3. Esta clave del registro no se aplica a la versión de exportación.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. O bien, cambiar los datos DWORD 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Nota: Para las versiones de Windows que se libera antes de Windows Vista, la clave debe ser Triple DES 168/168.
Subclave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Esta clave del registro hace referencia a RC2 de 128 bits. No se aplica a la versión de exportación.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Subclave de 64/128 de SCHANNEL\Ciphers\RC4
RC4 DE 64/128

Esta clave del registro hace referencia a RC4 de 64 bits. No se aplica a la versión de exportación (pero se utiliza en Microsoft Money).

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Subclave de SCHANNEL\Ciphers\RC4 56/128
RC4 DE 128/56

Esta clave del registro hace referencia a 56 bits RC4.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Subclave de SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Esta clave del registro hace referencia a RC2 de 56 bits.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Subclave de SCHANNEL\Ciphers\RC2 56/56

DES DE 56

Esta clave del registro hace referencia a DES de 56 bits como se especifica en el FIPS 46-2. Su implementación en los archivos Rsabase.dll y Rsaenh.dll se valida en el programa de validación de módulo criptográficos de FIPS 140-1.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Subclave de 40 o 128 de SCHANNEL\Ciphers\RC4

RC4 DE 40 O 128

Esto se refiere a RC4 de 40 bits.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Subclave de 40 o 128 de SCHANNEL\Ciphers\RC2

RC2 40/128

Esta clave del registro hace referencia a RC2 de 40 bits.

Para permitir que este algoritmo de cifrado, cambiar los datos del valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0. Si no configura el valor Enabled, el valor predeterminado es habilitado.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subclave de SCHANNEL\Ciphers\NULL

NULL

Esta clave del registro no significa cifrado. De forma predeterminada, desactivarla.

Para desactivar el cifrado (impedir todos los algoritmos de cifrado), cambie el valor DWORD del valor habilitado para 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0.

Subclave SCHANNEL/hash

La clave de registro de valores hash en la clave SCHANNEL se utiliza para controlar el uso de algoritmos hash como MD5 y SHA-1. Los siguientes son claves del registro válido en la clave hash.

Subclave de SCHANNEL\Hashes\MD5

MD5

Para permitir que este algoritmo hash, cambiar los datos del valor DWORD del valor habilitado al valor predeterminado 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subclave de SCHANNEL\Hashes\SHA

SHA

Esta clave del registro hace referencia al algoritmo de Hash seguro (SHA-1), como se especifica en el FIPS 180-1. Su implementación en los archivos Rsabase.dll y Rsaenh.dll se valida en el programa de validación de módulo criptográficos de FIPS 140-1.

Para permitir que este algoritmo hash, cambiar los datos del valor DWORD del valor habilitado al valor predeterminado 0xFFFFFFFF. De lo contrario, cambiar los datos del valor DWORD a 0 x 0.

Deshabilitar este algoritmo con eficacia no permite lo siguiente:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subclave SCHANNEL/KeyExchangeAlgorithms

La clave del registro KeyExchangeAlgorithms bajo la clave SCHANNEL se utiliza para controlar el uso de algoritmos de intercambio de claves, como RSA. Los siguientes son claves del registro válido en la clave KeyExchangeAlgorithms.

Subclave de SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Esta clave del registro hace referencia a RSA como los algoritmos de autenticación y el intercambio de claves.

Para permitir que RSA, cambiar los datos del valor DWORD del valor habilitado al valor predeterminado 0xFFFFFFFF. De lo contrario, cambiar los datos DWORD a 0 x 0.

Deshabilitar de forma eficaz RSA impide todo basadas en RSA SSL y TLS conjuntos de cifrado compatibles con el proveedor de seguridad TLS/SSL de Windows NT4 Service Pack 6 de Microsoft.

FIPS 140-1 cifrado suites

Es aconsejable usar sólo esos 3.0 de SSL o TLS 1.0 conjuntos de cifrado que se corresponden con FIPS 46-3 o FIPS 46-2 y algoritmos FIPS 180-1 proporcionados por Microsoft Base o Enhanced Cryptographic Provider.

En este artículo, nos referimos a ellos como FIPS 140-1 cifrado suites. Específicamente, son los siguientes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Para utilizar sólo FIPS 140-1 cifrado suites tal como se define aquí y compatibles con Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider con Base Cryptographic Provider o el Enhanced Cryptographic Provider, configurar los datos del valor DWORD del valor habilitado en las siguientes claves del registro 0 x 0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Y configurar los datos del valor DWORD del valor habilitado en las siguientes claves del registro 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[no aplicable en versión de exportación]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Cálculo de secreto maestro utilizando conjuntos FIPS 140-1 cifrado

Los procedimientos para utilizar el algoritmo de cifrado FIPS 140-1 conjuntos en SSL 3.0 difieren de los procedimientos para utilizar los conjuntos FIPS 140-1 cifrado de TLS 1.0.

En SSL 3.0, el siguiente es el cálculo de master_secret definición:

En TLS 1.0, el siguiente es el cálculo de master_secret definición:

donde:

La opción utilizar sólo suites FIPS 140-1 cifrado de TLS 1.0:

Debido a esta diferencia, los clientes que desee prohibir el uso de SSL 3.0, aunque el conjunto permitido de conjuntos de cifrado está limitado a sólo el subconjunto de FIPS 140-1 cifrado suites. En ese caso, cambiar los datos del valor DWORD del valor habilitado para 0 x 0 en las siguientes claves del registro bajo la clave de protocolos:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Advertencia: Los datos de valor de Enabled en estas claves del registro bajo la clave de protocolos tiene prioridad sobre el valor de grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos de una credencial de Schannel. Los datos de valor predeterminado habilitado 0xFFFFFFFF.

Archivos de registro de ejemplo

Se proporcionan dos ejemplos de contenido del archivo de registro para la configuración de esta sección del artículo. Son Export.reg y no-export.reg.

En un equipo que ejecuta Windows NT 4.0 Service Pack 6 con el Rasbase.dll exportables y los archivos Schannel.dll, ejecute Export.reg para asegurarse de que sólo TLS 1.0 FIPS cipher suites son utilizados por el equipo.

En un equipo que ejecuta Windows NT 4.0 Service Pack 6 que incluye el Rasenh.dll no exportable y los archivos Schannel.dll, ejecutar no-export.reg para asegurarse de que sólo TLS 1.0 FIPS cipher suites son utilizados por el equipo.

Para que el archivo Schannel.dll reconocer los cambios en la clave del registro SCHANNEL, debe reiniciar el equipo.

Para volver a la configuración predeterminada del registro, elimine la clave del registro SCHANNEL y todos los elementos debajo de él. Si estas claves del registro no están presentes, el Schannel.dll vuelve a generar las claves al reiniciar el equipo.
Para las versiones posteriores de Windows
Las claves del registro y su contenido en Windows Server 2008, Windows 7 y Windows Server 2008 R2 aspecto diferentes de las claves del registro en Windows Server 2003 y versiones anteriores. La ubicación del registro en Windows 7, Windows Server 2008 y Windows Server 20008 R2 y su contenido de forma predeterminada son los siguientes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

Este contenido se muestra en el formato de exportación estándar de REGEDIT.

Notas:
  • La clave de cifrado debe no contienen valores o subclaves.
  • No hay valores o subclaves, debe contener la clave conjuntos cifrados.
  • La clave hash debe no contienen valores o subclaves.
  • La clave KeyExchangeAlgorithms debe no contienen valores o subclaves.
  • La clave de protocolos debe contener las siguientes subclaves y valor:
    • Protocolos
      • SSL 2.0
        • Cliente
          • DisabledByDefault REG_DWORD 0 x 00000001 (valor)
Windows Server 2008 admite los siguientes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 y Windows 7 admiten los siguientes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Estos protocolos se pueden deshabilitar para el servidor o la arquitectura del cliente. Esto significa que el protocolo puede ser omitido o deshabilitado como sigue:
  • El protocolo puede omitirse de la lista de protocolos compatibles que se incluyen en el cliente Hello cuando se inicia una conexión SSL.
  • El protocolo puede deshabilitarse en el servidor para que el servidor no responderá con ese protocolo, incluso si un cliente solicita SSL 2.0.
Las subclaves de cliente y servidor designar cada protocolo. Puede deshabilitar un protocolo para el cliente o el servidor. Sin embargo, deshabilitar el cifrado, hash o conjuntos cifrados afecta a los lados cliente y servidor. Se tendría que crear las subclaves bajo la clave de protocolos para lograr esto es necesarias. Por ejemplo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Una vez creadas las subclaves, el registro se muestra como sigue:



De forma predeterminada, el cliente SSL 2.0 está deshabilitado en Windows Server 2008, Windows Server 2008 R2 y Windows 7. Esto significa que el equipo no utilizará SSL 2.0 para iniciar un cliente Hello. Por lo tanto, el registro se muestra como sigue:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
Exactamente igual que los cifrados y KeyExchangeAlgorithms, se pueden habilitar o deshabilitar protocolos. Para habilitar o deshabilitar un protocolo como SSL 2.0, establezca los siguientes valores en el registro del sistema en el cliente y el servidor.

Nota: Para habilitar o deshabilitar SSL 2.0, debe habilitarlo o deshabilitarlo en el equipo cliente y el equipo servidor.

La ubicación del registro para SSL 2.0 en el equipo cliente es la siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

La ubicación del registro para SSL 2.0 en el equipo servidor es como sigue:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Para habilitar SSL 2.0, siga estos pasos:
  1. En el equipo cliente, establezca el valor DWORD DisabledByDefault a 00000000.
  2. En el equipo servidor, establezca el valor DWORD habilitado en 0xffffffff.
  3. Reinicie el equipo.
Para deshabilitar SSL 2.0, siga estos pasos:
  • En el equipo cliente, establezca el valor DWORD DisabledByDefault a 00000001.
  • En el equipo servidor, establezca el valor DWORD habilitado a 00000000.
  • Reinicie el equipo.

Notas:
  • Con el Enabled = 0 x 0 valor del registro deshabilita el protocolo. Esta configuración no se sobrescriban y habilitada en la estructura grbitEnabledProtocols .
  • Utilizando la configuración del registro de DisabledByDefault sólo que evita emitir el comando sobre ese protocolo cuando se inicia una conexión SSL con un servidor. Esta configuración se puede sobrescribir y usa, por tanto, si se incluye en la estructura grbitEnabledProtocols .
  • Para impedir que se utilice un protocolo, use la Enabled = 0 x 0 configuración.
SP6

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 245030 - Última revisión: 01/14/2016 10:00:00 - Revisión: 8.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtes
Comentarios