Cara membatasi penggunaan tertentu algoritma dan protokol kriptografis di Schannel.dll

Dukungan untuk Windows XP telah berakhir

Microsoft mengakhiri dukungan untuk Windows XP pada 8 April 2014. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 245030
Ringkasan
Artikel ini menjelaskan cara membatasi penggunaan tertentu algoritma dan protokol kriptografis dalam berkas Schannel.dll. Informasi ini juga berlaku untuk peranti penangkap lunak independen vendor (ISV) aplikasi yang ditulis untuk API kriptografi Microsoft (CAPI).

Catatan Untuk bukti kunci registri yang berlaku untuk Windows Server 2008 dan Windows versi sesudahnya, lihat bagian "untuk versi Windows yang lebih baru".
Informasi lebih lanjut
penyedia layanan kriptografi berikut (CSP) yang disertakan dengan Windows NT 4.0 Service Pack 6 diberikan sertifikat untuk Validasi kripto FIPS-140-1:
  • Penyedia kriptografis dasar Microsoft (Rsabase.dll)
  • Microsoft ditingkatkan penyedia kriptografis (Rsaenh.dll) (versi non-ekspor)
Penyedia keamanan Microsoft TLS/SSL, berkas Schannel.dll, menggunakan CSP yang tercantum di sini untuk melakukan mengamankan komunikasi melalui SSL atau TLS dalam dukungan untuk Internet Explorer dan layanan informasi Internet (IIS).

Anda dapat mengubah berkas Schannel.dll untuk mendukung penyandian Suite 1 dan 2. Namun, program juga harus mendukung penyandian Suite 1 dan 2. Penyandian Suite 1 dan 2 tidak didukung pada IIS 4.0 dan 5.0.

Artikel ini berisi informasi yang diperlukan untuk mengkonfigurasi TLS/SSL keamanan penyedia untuk Windows NT 4.0 Service Pack 6 dan versi yang lebih baru. Anda dapat menggunakan registri Windows untuk mengontrol penggunaan khusus SSL 3.0, atau TLS 1.0 penyandian Suite berkaitan dengan algoritma kriptografi yang didukung oleh penyedia kriptografis dasar atau penyedia kriptografis ditingkatkan.

Catatan Di Windows NT 4.0 Service Pack 6, berkas Schannel.dll tidak menggunakan Microsoft Base DSS kriptografis penyedia (Dssbase.dll) atau Microsoft Diffie/DS-Hellman ditingkatkan kriptografis penyedia (Dssenh.dll).

Penyandian suite

Kedua SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) dan TLS 1.0 (RFC2246) dengan INTERNET-konsep "Suite penyandian ekspor 56-bit untuk TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" memberikan opsi untuk menggunakan suite penyandian yang berbeda. Masing-masing suite penyandian menentukan pertukaran bukti kunci, otentikasi, enkripsi, dan MAC algoritma yang digunakan dalam sesi SSL/TLS. Perhatikan bahwa ketika Anda menggunakan RSA sebagai pertukaran bukti kunci dan otentikasi algoritma, istilah RSA muncul hanya satu kali dalam definisi suite penyandian yang bersangkutan.

Windows NT 4.0 paket 6 Microsoft TLS SSL keamanan penyedia layanan mendukung berikut ini ditetapkan SSL 3.0 "CipherSuite" ketika Anda menggunakan penyedia kriptografis dasar atau penyedia kriptografis yang disempurnakan:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Catatan SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA maupun SSL_RSA_EXPORT1024_WITH_RC4_56_SHA ditetapkan dalam teks SSL 3.0. Namun, beberapa vendor SSL 3.0 mendukung mereka. Ini termasuk Microsoft.

Windows NT 4.0 paket 6 Microsoft TLS SSL keamanan penyedia layanan juga mendukung berikut ini ditetapkan TLS 1.0 "CipherSuite" ketika Anda menggunakan penyedia kriptografis dasar atau ditingkatkan kriptografis penyedia:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Catatan Suite penyandian yang ditetapkan dengan menggunakan byte pertama "0x00" non-pribadi dan digunakan untuk komunikasi yang terbuka. Oleh karena itu, Windows NT 4.0 paket 6 Microsoft TLS SSL keamanan penyedia layanan mengikuti prosedur untuk menggunakan suite penyandian ini sebagaimana ditetapkan di SSL 3.0 dan TLS 1.0 untuk memastikan bahwa interoperabilitas.

bukti kunci registri khusus Schannel

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Catatan Perubahan konten bukti kunci sandi atau tombol tekan HASH langsung berlaku, tanpa melakukan restart sistem.

bukti kunci SCHANNEL

Mulai Penyunting registri (Regedt32.exe), dan kemudian Cari bukti kunci registri berikut ini:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols subkunci

Untuk mengaktifkan sistem yang menggunakan protokol yang tidak dapat negosiasi secara asali (seperti TLS 1.1 dan TLS 1.2), Ubah data nilai DWORD DisabledByDefault value ke 0x0 dalam bukti kunci registri berikut ini di bawah bukti kunci protokol:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Peringatan DisabledByDefault nilai dalam bukti kunci registri di bawah bukti kunci protokol tidak lebih diutamakan daripada nilai grbitEnabledProtocols yang ditetapkan dalam struktur SCHANNEL_CRED yang berisi data untuk kredensial Schannel.

SCHANNEL\Ciphers subkunci

Sandi bukti kunci registri di bawah bukti kunci SCHANNEL digunakan untuk mengontrol penggunaan algoritma simetris seperti DES dan RC4. Berikut adalah bukti kunci registri yang berlaku di bawah bukti kunci sandi.
SCHANNEL\Ciphers\RC4 128/128 subkunci
RC4 128 128

Subkunci ini merujuk ke RC4 128-bit.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Atau, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan. bukti kunci registri ini tidak sahih untuk server ekspor yang tidak memiliki sertifikat SGC.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Triple DES 168

bukti kunci registri ini merujuk ke 168-bit Triple DES sebagaimana ditetapkan di ANSI X9.52 dan konsep FIPS 46-3. bukti kunci registri ini tidak sahih untuk versi ekspor.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Atau, mengubah DWORD data 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Catatan Untuk versi Windows yang rilis sebelum Windows Vista, bukti kunci harus Triple DES 168/168.
SCHANNEL\Ciphers\RC2 128/128 subkunci
RC2 128 128

bukti kunci registri ini merujuk ke RC2 128-bit. tidak sahih untuk versi ekspor.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

Subkunci SCHANNEL\Ciphers\RC4 64/128
RC4 64 128

bukti kunci registri ini merujuk ke RC4 64-bit. Ini tidak sahih untuk versi ekspor (tetapi digunakan di Microsoft Money).

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

SCHANNEL\Ciphers\RC4 56/128 subkunci
RC4 56 128

bukti kunci registri ini merujuk ke RC4 56-bit.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 subkunci
RC2 56 128

bukti kunci registri ini merujuk ke RC2 56-bit.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

SCHANNEL\Ciphers\RC2 56/56 subkunci

DES 56

bukti kunci registri ini merujuk ke 56-bit DES sebagaimana ditetapkan di FIPS 46-2. Penerapan di Rsabase.dll dan Rsaenh.dll file divalidasi FIPS 140-1 kriptografis modul validasi program.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 subkunci

RC4 40 128

Ini merujuk kepada RC4 40-bit.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 subkunci

RC2 40 128

bukti kunci registri ini merujuk ke RC2 40-bit.

Untuk mengizinkan algoritma penyandian ini, Ubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0. Jika Anda tidak mengonfigurasikan nilai yang aktif, default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL subkunci

NULL

bukti kunci registri ini berarti tanpa enkripsi. secara asali, dinonaktifkan.

Untuk menonaktifkan enkripsi (menolak semua penyandian algoritma), mengubah data nilai DWORD value diaktifkan untuk 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0.

SCHANNEL hash subkunci

Hash bukti kunci registri di bawah bukti kunci SCHANNEL digunakan untuk mengontrol penggunaan hashing algoritma seperti SHA-1 dan MD5. Berikut adalah bukti kunci registri yang berlaku di bawah bukti kunci hash.

SCHANNEL\Hashes\MD5 subkunci

MD5

Untuk mengizinkan hashing algoritma ini, Ubah data nilai DWORD value aktif ke nilai asali 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA subkunci

SHA

bukti kunci registri ini merujuk ke aman Algoritma Hash (SHA-1), yang ditentukan dalam FIPS 180-1 Penerapan di Rsabase.dll dan Rsaenh.dll file divalidasi FIPS 140-1 kriptografis modul validasi program.

Untuk mengizinkan hashing algoritma ini, Ubah data nilai DWORD value aktif ke nilai asali 0xffffffff. Jika tidak, mengubah data nilai DWORD 0x0.

Menonaktifkan algoritma ini secara efektif dilarang berikut ini:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subkunci SCHANNEL KeyExchangeAlgorithms

KeyExchangeAlgorithms bukti kunci registri di bawah bukti kunci SCHANNEL digunakan untuk mengontrol penggunaan algoritma pertukaran bukti kunci seperti RSA. Berikut adalah bukti kunci registri yang berlaku di bawah bukti kunci KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS subkunci
PKCS

bukti kunci registri ini merujuk kepada RSA sebagai algoritma exchange dan otentikasi bukti kunci.

Untuk mengizinkan RSA, mengubah data nilai DWORD value aktif ke nilai asali 0xffffffff. Jika tidak, mengubah DWORD data 0x0.

Menonaktifkan RSA secara efektif dilarang semua berbasis RSA SSL dan TLS penyandian Suite didukung oleh Windows NT4 SP6 Microsoft TLS/SSL penyedia keamanan.

FIPS 140-1 penyandian suite

Anda mungkin ingin menggunakan hanya mereka SSL 3.0, atau TLS 1.0 penyandian suite yang terkait dengan FIPS 46-3 atau FIPS 46-2 dan FIPS 180-1 algoritma yang disediakan oleh Microsoft Base atau penyedia kriptografis ditingkatkan.

Di dalam artikel ini, kami merujuk kepada mereka sebagai FIPS penyandian 140-1 suite. Khususnya, mereka adalah sebagai berikut:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Untuk menggunakan hanya FIPS 140-1 penyandian Suite seperti yang didefinisikan di sini dan didukung oleh Windows NT 4.0 paket 6 Microsoft TLS SSL keamanan penyedia layanan dengan penyedia kriptografis dasar atau ditingkatkan penyedia kriptografi, mengkonfigurasi data nilai DWORD value diaktifkan pada bukti kunci registri berikut untuk 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Dan mengkonfigurasi data nilai DWORD value diaktifkan pada bukti kunci registri berikut untuk 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168 168"[tidak berlaku dalam versi ekspor]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Komputasi rahasia master dengan menggunakan FIPS 140-1 penyandian suite

Prosedur untuk menggunakan penyandian 140-1 FIPS suite di SSL 3.0 berbeda dari prosedur untuk menggunakan suite 140-1 penyandian FIPS TLS 1.0.

SSL 3.0, berikut ini adalah definisi master_secret perhitungan:

TLS 1.0, berikut ini adalah definisi master_secret perhitungan:

di mana:

Memilih opsi untuk menggunakan hanya FIPS 140-1 penyandian suite di TLS 1.0:

Karena perbedaan ini, pelanggan dapat melarang gunakan SSL 3.0 meskipun serangkaian diizinkan penyandian Suite dibatasi untuk hanya subset FIPS penyandian 140-1 suite. Dalam hal ini, Ubah data nilai DWORD value diaktifkan untuk 0x0 di bukti kunci registri berikut ini di bawah bukti kunci protokol:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Peringatan Aktifkan nilai data dalam bukti kunci registri berikut di bawah bukti kunci protokol lebih diutamakan daripada nilai grbitEnabledProtocols yang ditetapkan dalam struktur SCHANNEL_CRED yang berisi data untuk kredensial Schannel. Data nilai asali aktif 0xffffffff.

Contoh berkas registri

Dua contoh dari konten berkas registri untuk konfigurasi disediakan di bagian artikel. Mereka yang Export.reg dan Non-export.reg.

Di komputer yang menjalankan Windows NT 4.0 Service Pack 6 dengan Rasbase.dll ekspor dan berkas Schannel.dll, jalankan Export.reg untuk memastikan bahwa hanya TLS 1.0 FIPS sandi jelas suite yang digunakan oleh komputer.

Di komputer yang menjalankan Windows NT 4.0 Service Pack 6 yang mencakup Rasenh.dll non-ekspor dan berkas Schannel.dll, jalankan Non-export.reg untuk memastikan bahwa hanya TLS 1.0 FIPS sandi jelas suite yang digunakan oleh komputer.

Untuk berkas Schannel.dll untuk mengenali perubahan apa pun di bawah bukti kunci registri SCHANNEL, Anda harus memulai ulang komputer.

Untuk gulung balik pengaturan registri ke default, Hapus bukti kunci registri SCHANNEL dan segalanya di bawah ini. Jika bukti kunci registri tersebut tidak ada, Schannel.dll membuat bukti kunci ketika Anda me-restart komputer.
Untuk versi Windows yang lebih baru
bukti kunci registri dan kontennya di Windows Server 2008, Windows 7 dan Windows Server 2008 R2 terlihat berbeda dari bukti kunci registri di Windows Server 2003 dan versi sebelumnya. Lokasi registri di Windows 7, Windows Server 2008, dan Windows Server 20008 R2 dan isinya asali adalah sebagai berikut:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Konten ini ditampilkan dalam format ekspor REGEDIT standar.

Catatan
  • bukti kunci sandi harus berisi nilai tidak ada atau subkunci.
  • bukti kunci CipherSuites harus berisi nilai tidak ada atau subkunci.
  • bukti kunci hash harus berisi nilai tidak ada atau subkunci.
  • bukti kunci KeyExchangeAlgorithms harus berisi nilai tidak ada atau subkunci.
  • tombol tekan protokol harus berisi subkunci dan nilai berikut ini:
    • Protokol
      • SSL 2.0
        • Klien
          • REG_DWORD DisabledByDefault 0x00000001 (nilai)
Windows Server 2008 mendukung protokol berikut ini:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 dan Windows 7 dukungan protokol berikut ini:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Protokol tersebut dapat dinonaktifkan untuk server atau klien arsitektur. Ini berarti protokol yang dapat dihilangkan atau dinonaktifkan sebagai berikut:
  • Protokol yang dapat dihilangkan dari daftar protokol yang didukung yang disertakan dalam klien Halo saat sambungan SSL dimulai.
  • Protokol yang dapat dinonaktifkan di server sehingga server tidak akan merespons dengan menggunakan protokol tersebut meskipun klien meminta SSL 2.0.
Klien dan server subkunci menetapkan masing-masing protokol. Anda dapat menonaktifkan protokol klien atau server. Namun, menonaktifkan sandi, hash, atau CipherSuites mempengaruhi sisi klien dan server. Anda harus membuat subkunci yang diperlukan di bawah bukti kunci protokol untuk mencapai tujuan ini. Misalnya:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Setelah subkunci ini dibuat, registri akan ditampilkan sebagai berikut:



secara asali, klien SSL 2.0 dinonaktifkan di Windows Server 2008, Windows Server 2008 R2 dan Windows 7. Ini berarti bahwa komputer tidak akan menggunakan SSL 2.0 untuk memulai klien Halo. Oleh karena itu, registri akan ditampilkan sebagai berikut:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Seperti sandi dan KeyExchangeAlgorithms, protokol yang dapat diaktifkan atau dinonaktifkan. Untuk mengaktifkan atau menonaktifkan protokol seperti SSL 2.0, tetapkan nilai-nilai berikut ini di registri sistem pada klien dan server.

Catatan Untuk mengaktifkan atau menonaktifkan SSL 2.0, Anda harus mengaktifkan atau menonaktifkan pada komputer klien dan server komputer.

Lokasi registri untuk SSL 2.0 pada komputer klien adalah sebagai berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Lokasi registri untuk SSL 2.0 pada komputer server adalah sebagai berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Untuk mengaktifkan SSL 2.0, ikuti langkah-langkah berikut:
  1. Pada komputer klien, tetapkan nilai DisabledByDefault DWORD ke 00000000.
  2. Di server komputer, tetapkan nilai DWORD diaktifkan untuk 0xffffffff.
  3. Hidupkan ulang komputer.
Untuk menonaktifkan SSL 2.0, ikuti langkah-langkah berikut:
  • Pada komputer klien, tetapkan nilai DisabledByDefault DWORD ke 00000001.
  • Di server komputer, tetapkan nilai DWORD diaktifkan untuk 00000000.
  • Hidupkan ulang komputer.

Catatan
  • Menggunakan aktif = 0x0 pengaturan registri menonaktifkan protokol. Pengaturan ini tidak dapat ditimpa dan diaktifkan di struktur grbitEnabledProtocols .
  • Menggunakan pengaturan registri DisabledByDefault hanya mencegah protokol yang mengeluarkan Halo perintah melalui protokol tersebut saat sambungan SSL dengan server dimulai. Pengaturan ini dapat ditimpa dan oleh karena itu digunakan jika disertakan dalam struktur grbitEnabledProtocols .
  • Untuk mencegah protokol yang digunakan, gunakan aktif = 0x0 pengaturan.
SP6

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 245030 - Tinjauan Terakhir: 01/14/2016 17:12:00 - Revisi: 9.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtid
Tanggapan