Introduction

Cet article décrit une mise à jour pour ajouter la prise en charge de la Sécurité TLS (Transport Layer) 1.1 et TLS 1.2 dans Windows Embedded Compact 7.

Avant d’installer cette mise à jour, toutes les mises à jour précédemment publiées pour ce produit doivent être installés.

Résumé

Activer TLS 1.1 et TLS 1.2

Par défaut, TLS 1.1 et TLS 1.2 sont activés lorsque le périphérique Windows Embedded Compact 7 est configuré comme un client à l’aide des paramètres du navigateur. Les protocoles sont désactivés lorsque le Windows Embedded Compact 7-basé périphérique est configuré comme un serveur web.

Vous pouvez utiliser des clés de Registre suivantes pour activer ou désactiver le TLS 1.1 et TLS 1.2.

TLS 1.1

La sous-clé suivante contrôle l’utilisation de TLS 1.1 :

HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

Pour désactiver le protocole TLS 1.1, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.

Remarque Pour activer et négociation TLS 1.1, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.

TLS 1.2

La sous-clé suivante contrôle l’utilisation de TLS 1.2 :

HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

Pour désactiver le protocole TLS 1.2, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.

Remarque Pour activer et négociation TLS 1.2, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.

Remarques supplémentaires

  • La valeur de DisabledByDefault dans les clés de Registre sous la clé de protocoles ne prend pas la priorité sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour les informations d’identification de Schannel.

  • Par le Demande de commentaires (RFC), l’implémentation de design n’autorise pas SSL2 et TLS 1.2 soit activé en même temps.

Plus d'informations

Veuillez lire les sections suivantes pour plus de détails à propos de TLS 1.1 et 1.2.

Suites de chiffrement pris en charge uniquement par TLS 1.2

Les suites de chiffrement nouvellement ajouté suivants sont pris en charge uniquement par TLS 1.2 :

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_NULL_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)

grbitEnabledProtocols

(Facultatif) Cette valeur DWORD contient une chaîne de bits représentant les protocoles qui ont la condition suivante :

  • Prise en charge par les connexions qui sont établies en disposant des informations d’identification qui sont acquis à l’aide de cette structure

Le tableau suivant montre les indicateurs possibles supplémentaires que le membre peut contenir.

Valeur

Description

SP_PROT_TLS1_2_CLIENT

Transport Layer Security 1.2 côté client.

SP_PROT_TLS1_2_SERVER

Transport Layer Security 1.2 côté serveur

SP_PROT_TLS1_1_CLIENT

Transport Layer Security 1.1 côté client.

SP_PROT_TLS1_1_SERVER

Transport Layer Security 1.1 côté serveur

SecBuffer

BufferType

Cet ensemble de bits indicateurs indique le type de mémoire tampon. Le tableau suivant montre les indicateurs disponibles supplémentaires pour TLS 1.2.

Indicateur

Description

SECBUFFER_ALERT

La mémoire tampon contient un message d’alerte.

SecPkgContext_ConnectionInfo

dwProtocol

Désigne le protocole qui est utilisé pour établir cette connexion. Le tableau suivant montre les constantes valides supplémentaires pour ce membre.

Valeur

Description

SP_PROT_TLS1_2_CLIENT

Transport Layer Security 1.2 côté client.

SP_PROT_TLS1_2_SERVER

Transport Layer Security 1.2 côté serveur

SP_PROT_TLS1_1_CLIENT

Transport Layer Security 1.1 côté client.

SP_PROT_TLS1_1_SERVER

Transport Layer Security 1.1 côté serveur

aiCipher

C’est l’identificateur d’algorithme (ALG_ID) pour le chiffrement en bloc utilisé par cette connexion. Le tableau suivant montre les constantes valides supplémentaires pour ce membre.

Valeur

Description

CALG_AES_256

Algorithme de cryptage 256 bits AES

CALG_AES_128

Algorithme de cryptage à 128 bits AES

CALG_3DES

Algorithme de chiffrement 3DES bloc

SecPkgContext_SupportedSignatures

structure de

Ce paramètre spécifie les algorithmes de signature qui sont pris en charge par une connexion Schannel .

Syntaxe (C++)

typedef struct _SecPkgContext_SupportedSignatures {

  WORD cSignatureAndHashAlgorithms;

  WORD *pSignatureAndHashAlgorithms;

} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;

Membres

  • cSignatureAndHashAlgorithms Ceci est le nombre d’éléments dans le tableau pSignatureAndHashAlgorithms.

  • pSignatureAndHashAlgorithms Il s’agit d’un tableau de valeurs qui spécifient les algorithmes pris en charge.L’octet supérieur peut être une des valeurs suivantes, qui spécifie un algorithme de signature.

    Valeur

    Signification

    0

    Algorithme de signature anonyme

    1

    L’algorithme de signature RSA

    2

    L’algorithme de signature DSA

    3

    L’algorithme de signature ECDSA

    255

    Réservé

    L’octet de poids faible peut être une des valeurs suivantes, qui spécifie un algorithme de hachage.

    Valeur

    Signification

    0

    Aucun

    1

    L’algorithme de hachage MD5

    2

    L’algorithme de hachage SHA1

    3

    L’algorithme de hachage SHA-224

    4

    L’algorithme de hachage SHA-256

    5

    L’algorithme de hachage SHA-384

    6

    L’algorithme de hachage SHA-512

    255

    Réservé

    Requirements

    En-tête

    Schannel.h

QueryContextAttributes

Cette fonction permet à une application de transport d’un package de sécurité pour certains attributs d’un contexte de sécurité de la requête.

ulAttribute

Il s’agit d’un pointeur vers une mémoire tampon qui contient les attributs de contexte qui doit être récupéré. Le tableau suivant montre les valeurs possibles.

Valeur

Description

SECPKG_ATTR_SUPPORTED_SIGNATURES

Cette valeur renvoie des informations sur les types de signature qui sont pris en charge pour la connexion. Le paramètre pBuffer contient un pointeur vers un SecPkgContext_SupportedSignatures structure.

Paramètres du Registre de l’interface utilisateur exemple navigateur

Le tableau suivant montre les paramètres de Registre d’Internet et des paramètres d’exploitation dans la sous-clé de Registre suivante :Paramètres HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Nom

Tapez

Description

Valeur par défaut

SecureProtocols

REG_BINARY

00,02,00,00 (Active TLS 1.1 uniquement)

00,08,00,00 (permet uniquement de TLS 1.2)

Vous pouvez également définir cette clé en tant que REG_DWORD « 0AA8 » pour activer tous les protocoles.

A0, 0 a, 00, 00 (permet à tous les protocoles, à l’exception de SSL2)

 

Informations de mise à jour de logiciel

Informations sur le téléchargement

Le Windows Embedded Compact 7 mise à jour mensuelle (mars 2018) est désormais disponible auprès de Microsoft. Pour télécharger la mise à jour, accédez au Périphérique Partner Center (DPC).

Conditions préalables

Cette mise à jour est pris en charge que si toutes les mises à jour précédemment publiées pour ce produit ont également été installées.

Nécessite un redémarrage

Après avoir appliqué cette mise à jour, vous devez effectuer une génération complète de l’intégralité de la plateforme. Pour ce faire, utilisez une des méthodes suivantes :

  • Dans le menu Générer , sélectionnez Nettoyer la Solutionet sélectionnez Générer la Solution.

  • Dans le menu Générer , sélectionnez Régénérer la Solution.

Vous n’êtes pas obligé de redémarrer l’ordinateur après avoir appliqué cette mise à jour de logiciel.

Mettre à jour les informations sur le remplacement

Cette mise à jour ne remplace pas d'autres mises à jour.

Références

Apprenez-en plus sur la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.