מבוא
מאמר זה מתאר עדכון כדי להוסיף תמיכה עבור אבטחת שכבת התעבורה (TLS) 1.1 ו- TLS 1.2 ב- Windows 7 קומפקטי מוטבע.
לפני התקנת עדכון זה, עליך להתקין את כל עדכוני האבטחה שהונפקו בעבר עבור מוצר זה.
סיכום
אפשר TLS 1.1 ו- TLS 1.2
כברירת מחדל, TLS 1.1 ו- TLS 1.2 זמינים כאשר התקן מבוסס Windows 7 קומפקטי המוטבע מוגדר כלקוח באמצעות הגדרות דפדפן. הפרוטוקולים אינם זמינים כאשר Windows מוטבעים לדחוס 7-בסיס להתקן מוגדר כשרת אינטרנט.
באפשרותך להשתמש במפתחות הרישום הבאים כדי להפעיל או לבטל TLS 1.1 ו- TLS 1.2.
TLS 1.1
מפתח המשנה הבא שליטה באופן השימוש של TLS 1.1:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
כדי להשבית את הפרוטוקול TLS 1.1, עליך ליצור את ערך DWORD זמין במפתח המשנה המתאים ולאחר מכן שנה את ערך ה-DWORD 0. כדי להפעיל מחדש את הפרוטוקול, שנה את ערך ה-DWORD ל- 1. כברירת מחדל, ערך זה אינו קיים ברישום.
הערה כדי לאפשר משא ומתן TLS 1.1, עליך ליצור את ערך DisabledByDefault DWORD במפתח המשנה המתאים (לקוח, שרת) ולאחר מכן שנה את ערך ה-DWORD 0.
TLS 1.2
מפתח המשנה הבא שליטה באופן השימוש של TLS 1.2:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
כדי להשבית את הפרוטוקול TLS 1.2, עליך ליצור את ערך DWORD זמין במפתח המשנה המתאים ולאחר מכן שנה את ערך ה-DWORD 0. כדי להפעיל מחדש את הפרוטוקול, שנה את ערך ה-DWORD ל- 1. כברירת מחדל, ערך זה אינו קיים ברישום.
הערה כדי לאפשר משא ומתן TLS 1.2, עליך ליצור את ערך DisabledByDefault DWORD במפתח המשנה המתאים (לקוח, שרת) ולאחר מכן שנה את ערך ה-DWORD 0.
הערות נוספות
-
הערך DisabledByDefault במפתחות הרישום תחת מפתח פרוטוקולים לא ולפעילות הערך grbitEnabledProtocols המוגדר במבנה SCHANNEL_CRED המכיל את הנתונים עבור אישור של Schannel.
-
לכל בקשה להערות (RFC), הטמעת העיצוב אינו מאפשר SSL2 ו- TLS 1.2 יהיו זמינים בו-זמנית.
מידע נוסף
נא קרא את הסעיפים הבאים לקבלת פרטים נוספים אודות TLS 1.1 ו- 1.2.
צופן נתמכות על-ידי TLS 1.2 בלבד
הבאים שנוספו צופן נתמכות על-ידי TLS 1.2 בלבד:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(אופציונלי) ערך DWORD זה מכיל מחרוזת סיביות המייצגת פרוטוקולים בעלי התנאי הבא:
-
תמיכה חיבורים אשר מתבצעים על-ידי קביעה אישורי אשר נרכש באמצעות מבנה זה
הטבלה הבאה מציגה הדגלים אפשריות נוספות החבר יכול להכיל.
ערך |
תיאור |
SP_PROT_TLS1_2_CLIENT |
תעבורה שכבת אבטחה 1.2 מצד הלקוח. |
SP_PROT_TLS1_2_SERVER |
הובלה שכבת אבטחה 1.2 מצד השרת |
SP_PROT_TLS1_1_CLIENT |
תעבורה שכבת אבטחה 1.1 מצד הלקוח. |
SP_PROT_TLS1_1_SERVER |
הובלה שכבת אבטחה 1.1 מצד השרת |
BufferType
ערכת דגלי סיבית זו מציינת את סוג המאגר. הטבלה הבאה מציגה את הדגלים הזמינים נוספים עבור TLS 1.2.
דגל |
תיאור |
SECBUFFER_ALERT |
המאגר מכיל הודעת התראה. |
dwProtocol
מדיניות זו מגדירה את הפרוטוקול המשמש ליצירת חיבור זה. הטבלה הבאה מציגה קבועים חוקיים נוספים עבור חבר זה.
ערך |
תיאור |
SP_PROT_TLS1_2_CLIENT |
תעבורה שכבת אבטחה 1.2 מצד הלקוח. |
SP_PROT_TLS1_2_SERVER |
הובלה שכבת אבטחה 1.2 מצד השרת |
SP_PROT_TLS1_1_CLIENT |
תעבורה שכבת אבטחה 1.1 מצד הלקוח. |
SP_PROT_TLS1_1_SERVER |
הובלה שכבת אבטחה 1.1 מצד השרת |
זהו המזהה אלגוריתם (ALG_ID) עבור צופן הצפנה בצובר נמצא בשימוש על-ידי חיבור זה. הטבלה הבאה מציגה קבועים חוקיים נוספים עבור חבר זה.
ערך |
תיאור |
CALG_AES_256 |
אלגוריתם הצפנה של 256 סיביות AES |
CALG_AES_128 |
אלגוריתם הצפנה של 128 סיביות AES |
CALG_3DES |
אלגוריתם ההצפנה של 3DES בלוק |
מבנה
תכונה זו מציינת את האלגוריתמים חתימה נתמכים על-ידי חיבור Schannel .
תחביר (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
חברים
-
cSignatureAndHashAlgorithms
זהו מספר הרכיבים במערך pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
זהו מערך של ערכים המציינים את האלגוריתמים נתמכים.
בית העליון יכול להיות אחד מהערכים הבאים המציין באלגוריתם חתימה.ערך
משמעות
0
אלגוריתם חתימה אנונימי
1
אלגוריתם חתימה של RSA
2
אלגוריתם החתימה של DSA
3
אלגוריתם החתימה של ECDSA
255
שמור
בית נמוכה יותר יכול להיות אחד מהערכים הבאים המציין אלגוריתם hash.ערך
משמעות
0
ללא
1
אלגוריתם ה-hash מסוג MD5
2
אלגוריתם ה-hash מסוג SHA1
3
אלגוריתם ה-hash של SHA-224
4
אלגוריתם ה-hash של SHA-256
5
אלגוריתם ה-hash של SHA-384
6
אלגוריתם ה-hash של SHA-512
255
שמור
Requirements
כותרת עליונה
Schannel.h
פונקציה זו מאפשרת ליישום התעבורה של חבילת אבטחה עבור תכונות מסוימות של הקשר האבטחה של שאילתה.
ulAttribute
דבר זה מצביע למאגר המכיל תכונות של הקשר שבו יש לאחזר. הטבלה הבאה מציגה את הערכים האפשריים.
ערך |
תיאור |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
ערך זה מחזיר מידע אודות סוגי חתימה הנתמכות עבור החיבור. מצביע מכיל הפרמטר pBuffer SecPkgContext_SupportedSignatures מבנה. |
הגדרות הרישום של הדפדפן דגימה של ממשק משתמש
הטבלה הבאה מציגה את הגדרות הרושמים לאינטרנט והגדרות הפעלה במפתח המשנה הבא של הרישום:
הגדרות HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
שם |
סוג |
תיאור |
ערך ברירת המחדל |
SecureProtocols |
REG_BINARY |
00,02,00,00 (מאפשר את TLS 1.1 בלבד) 00,08,00,00 (מאפשר את TLS 1.2 בלבד) באפשרותך גם להגדיר מפתח זה כ- REG_DWORD "0AA8" כדי לאפשר את כל הפרוטוקולים. |
A0, 0A, 00, 00 (מאפשר כל הפרוטוקולים, למעט SSL2) |
מידע על עדכון תוכנה
מידע אודות הורדות
Windows מוטבע קומפקטי 7 חודשי העדכון (2018 במרץ) זמינה כעת מ- Microsoft. כדי להוריד את העדכון, עבור אל מרכז שותף התקן (DPC).
דרישות מוקדמות
עדכון זה נתמך רק אם כל עדכוני האבטחה שהונפקו בעבר עבור מוצר זה הותקנו אף הם.
דרישת הפעלה מחדש
לאחר החלת עדכון זה, עליך לבצע בנייה נקייה של הפלטפורמה כולה. לשם כך, השתמש באחת מהשיטות הבאות:
-
בתפריט ' בנה ', בחר פתרון נקי, ולאחר מכן בחר לבנות פתרון.
-
בתפריט ' בנה ', בחר לבנות מחדש של הפתרון.
אין לך להפעיל מחדש את המחשב לאחר החלת עדכון תוכנה זה.
מידע על החלפת עדכונים
עדכון זה אינו מחליף שום עדכון אחר.
הפניות
למד אודות המינוח שבו Microsoft משתמשת לתיאור עדכוני תוכנה.