Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come limitare l'utilizzo di determinati algoritmi e protocolli crittografici in Schannel. dll

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 245030
Sommario
In questo articolo viene descritto come limitare l'utilizzo di determinati algoritmi e protocolli crittografici in file Schannel. dll. Queste informazioni si applicano anche alle applicazioni di fornitore (ISV) di software indipendenti che vengono scritte per Microsoft Cryptographic API (CAPI).

Nota Per le chiavi del Registro di sistema che si applicano a Windows Server 2008 e versioni successive di Windows, vedere la sezione "versioni successive di Windows".
Informazioni
Il provider del servizio di crittografia (CSP) seguenti inclusi in Windows NT 4.0 Service Pack 6 sono stati assegnati i certificati per Convalida di crittografia FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase. dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh. dll) (versione non per l'esportazione)
Provider di protezione TLS/SSL Microsoft, il file Schannel. dll, utilizza il provider CSP elencate di seguito per effettuare comunicazioni protette tramite SSL o TLS al supporto per Internet Explorer e Internet Information Services (IIS).

È possibile modificare il file Schannel. dll per supportare il pacchetto di crittografia 1 e 2. Tuttavia, il programma deve anche supportare Cipher Suite 1 e 2. Pacchetto di crittografia 1 e 2 non sono supportati in IIS 4.0 e 5.0.

In questo articolo contiene le informazioni necessarie per configurare il TLS/SSL Security Provider per Windows NT 4.0 Service Pack 6 e versioni successive. È possibile utilizzare il Registro di sistema per controllare l'utilizzo di specifiche suite di cifratura SSL 3.0 o TLS 1.0 per quanto riguarda gli algoritmi di crittografia supportati dal Provider di crittografia di Base o Enhanced Cryptographic Provider.

Nota In Windows NT 4.0 Service Pack 6, il file Schannel. dll non utilizza Microsoft Base DSS Cryptographic Provider (Dssbase.dll) o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.).

Suite di cifratura

Entrambi SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) e TLS 1.0 (RFC2246) con "suite di cifratura a 56 bit esportazione per TLS draft-ietf-tls-56-bit-ciphersuites-00.txt"-Bozza INTERNET consentono di utilizzare una suite di cifratura diversi. Ogni pacchetto di crittografia determina la scambio delle chiavi, autenticazione, crittografia e MAC (algoritmi) utilizzati in una sessione SSL/TLS. Si noti che quando si utilizza RSA come scambio di chiavi e algoritmi di autenticazione, il termine RSA viene visualizzata solo una volta nelle definizioni di suite di crittografia corrispondente.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider supporta i seguenti SSL 3.0 definito "CipherSuite" quando si utilizza il Provider di crittografia di Base o il Provider di crittografia avanzata:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota Nel testo di SSL 3.0 è definito né SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA né SSL_RSA_EXPORT1024_WITH_RC4_56_SHA. Tuttavia, diversi fornitori di SSL 3.0 li supportano. Sono inclusi Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider supporta inoltre il seguente TLS 1.0 definito "CipherSuite" quando si utilizza il Provider di crittografia di Base o Enhanced Cryptographic Provider:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota Una suite di crittografia che viene definita mediante il primo byte "0x00" è non privati e viene utilizzata per comunicazioni interoperabili aperte. Di conseguenza, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider segue le procedure per l'utilizzo di queste suite di cifratura come specificato in SSL 3.0 e TLS 1.0 per assicurarsi di interoperabilità.

Chiavi di registro specifiche Schannel

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, può causare seri problemi la modifica del Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Eseguire il backup e ripristino del Registro di sistema in Windows
Nota Le modifiche al contenuto della chiave CIFRARIO o la chiave hash immediatamente effettive, senza riavviare il sistema.

Chiave SCHANNEL

Avviare l'Editor del Registro di sistema (Regedt32.exe) e quindi individuare la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Sottochiave SCHANNEL\Protocols

Per attivare il sistema di utilizzare i protocolli che non verranno negoziati per impostazione predefinita (ad esempio TLS 1.1 e 1.2 TLS), modificare i dati del valore DWORD del valore DisabledByDefault su 0x0 nelle seguenti chiavi del Registro di sistema nella chiave protocolli:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Avviso Il valore di DisabledByDefault nelle chiavi del Registro di sistema nella chiave protocolli non hanno la precedenza sul valore definito nella struttura che contiene i dati per una credenziale Schannel SCHANNEL_CRED grbitEnabledProtocols.

Sottochiave SCHANNEL\Ciphers

La chiave di registro nella chiave SCHANNEL cifrari viene utilizzata per controllare l'utilizzo di algoritmi simmetrici, quali DES e RC4. Di seguito sono le chiavi di registro valida nella chiave del cifrario.
Sottochiave SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Questa sottochiave fa riferimento a 128 bit RC4.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In alternativa, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato. Questa chiave del Registro di sistema non si applica a un server esportabile che non dispone di un certificato SGC.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Triple DES 168

Questa chiave del Registro di sistema fa riferimento a 168 bit Triple DES, come specificato in X9.52 ANSI e bozza FIPS 46-3. Questa chiave del Registro di sistema non si applica alla versione di esportazione.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In alternativa, modificare i dati DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Nota Per le versioni di Windows che rilascia prima di Windows Vista, la chiave deve essere Triple DES 168/168.
Sottochiave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Questa chiave del Registro di sistema fa riferimento a 128 bit RC2. Non si applica alla versione di esportazione.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

Sottochiave SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Questa chiave del Registro di sistema fa riferimento a 64-bit RC4. Esso non si applica alla versione di esportazione, ma viene utilizzato in Microsoft Money.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

Sottochiave SCHANNEL\Ciphers\RC4. 56/128
RC4 56/128

Questa chiave del Registro di sistema fa riferimento a 56 bit RC4.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Sottochiave SCHANNEL\Ciphers\RC2. 56/128
RC2 56/128

Questa chiave del Registro di sistema fa riferimento a RC2 a 56 bit.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

Sottochiave SCHANNEL\Ciphers\RC2. 56/56

DES A 56

Questa chiave del Registro di sistema fa riferimento a 56 bit DES, come specificato in FIPS 46-2. L'implementazione nei file Rsabase. dll e Rsaenh. dll viene convalidato FIPS 140-1 crittografia modulo convalida programma.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Sottochiave SCHANNEL\Ciphers\RC4 40/128

RC4 40/128

Si riferisce a 40 bit RC4.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Sottochiave SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

Questa chiave del Registro di sistema fa riferimento a RC2 a 40 bit.

Per consentire questo algoritmo di crittografia, modificare i dati del valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0. Se non si configura il valore attivato, il valore predefinito è abilitato.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sottochiave SCHANNEL\Ciphers\NULL

NULL

Questa chiave del Registro di sistema non significa Nessuna crittografia. Per impostazione predefinita, viene disattivata.

Per disattivare la crittografia (Disattiva tutti gli algoritmi di crittografia), modificare il valore DWORD del valore attivato da 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0.

Sottochiave SCHANNEL/hash

La chiave di registro nella chiave SCHANNEL hash viene utilizzata per controllare l'utilizzo di algoritmi di hash SHA-1 e MD5. Di seguito sono le chiavi di registro valida nella chiave di hash.

Sottochiave SCHANNEL\Hashes\MD5

MD5

Per consentire questo algoritmo di hash, modificare i dati del valore DWORD del valore abilitato il valore predefinito 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sottochiave SCHANNEL\Hashes\SHA

SHA

Questa chiave del Registro di sistema fa riferimento a Secure Hash Algorithm (SHA-1), come specificato in FIPS 180-1. L'implementazione nei file Rsabase. dll e Rsaenh. dll viene convalidato FIPS 140-1 crittografia modulo convalida programma.

Per consentire questo algoritmo di hash, modificare i dati del valore DWORD del valore abilitato il valore predefinito 0xFFFFFFFF. In caso contrario, modificare i dati valore DWORD 0x0.

La disattivazione di questo algoritmo in modo efficace non consente le operazioni seguenti:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Sottochiave SCHANNEL/KeyExchangeAlgorithms

La chiave di registro KeyExchangeAlgorithms nella chiave SCHANNEL viene utilizzata per controllare l'utilizzo di algoritmi di scambio delle chiavi, ad esempio RSA. Di seguito sono chiavi del Registro di sistema valida nella chiave KeyExchangeAlgorithms.

Sottochiave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Questa chiave del Registro di sistema si intende il RSA come gli algoritmi di autenticazione e lo scambio chiavi.

Per consentire di RSA, modificare i dati del valore DWORD del valore abilitato il valore predefinito 0xFFFFFFFF. In caso contrario, modificare i dati DWORD 0x0.

Disattivazione RSA efficacemente impedisce tutte basate su RSA SSL e TLS suite di cifratura supportate dal Provider di protezione di Windows NT4 SP6 Microsoft TLS/SSL.

FIPS 140-1 cipher Suite

Si consiglia di utilizzare solo tali SSL 3.0 o TLS 1.0 suite di cifratura che corrispondono a FIPS 46-3 o FIPS 46-2 e algoritmi FIPS 180-1 forniti dagli Base Microsoft Enhanced Cryptographic Provider.

In questo articolo, verrà fatto riferimento a essi FIPS 140-1 cipher Suite. In particolare, essi sono i seguenti:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Per utilizzare solo FIPS 140-1 cipher gruppi definiti di seguito e supportato da Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider con il Provider di crittografia di Base o il Provider di crittografia avanzata, configurare i dati del valore DWORD del valore abilitato nelle seguenti chiavi del Registro di sistema per 0x0:
  • 128/128 SCHANNEL\Ciphers\RC4
  • 128/128 SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\RC4 64/128
  • 56/128 SCHANNEL\Ciphers\RC4
  • 56/128 SCHANNEL\Ciphers\RC2
  • 40/128 SCHANNEL\Ciphers\RC4
  • 40/128 SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
E configurare i dati del valore DWORD del valore abilitato nelle seguenti chiavi del Registro di sistema per 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES. 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[non disponibile in versione esportazione]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Calcolo del segreto master utilizzando FIPS 140-1 cipher Suite

Le procedure per utilizzare la crittografia FIPS 140-1 gruppi di SSL 3.0 differiscono da quelle utilizzate per utilizzare i gruppi di FIPS 140-1 crittografia TLS 1.0.

SSL 3.0, di seguito è riportato il calcolo master_secret definizione:

TLS 1.0, di seguito è riportato il calcolo master_secret definizione:

dove:

Selezionando l'opzione per utilizzare solo gruppi di FIPS 140-1 crittografia TLS 1.0:

A causa di questa differenza, clienti può essere opportuno vietare l'uso di SSL 3.0, anche se la validità del pacchetto di crittografia è limitata a solo un sottoinsieme di FIPS 140-1 cipher Suite. In tal caso, modificare i dati del valore DWORD del valore attivato da 0x0 nelle seguenti chiavi del Registro di sistema nella chiave protocolli:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Avviso I dati del valore attivato queste chiavi del Registro di sistema nella chiave di protocolli ha la precedenza sul valore definito nella struttura che contiene i dati per una credenziale Schannel SCHANNEL_CRED grbitEnabledProtocols. I dati di valore predefinito abilitato 0xFFFFFFFF.

File di registro di esempio

Vengono forniti due esempi di contenuto del file di registro di sistema per la configurazione di questa sezione dell'articolo. Sono Export.reg e Non-export.reg.

In un computer che esegue Windows NT 4.0 Service Pack 6 con il Rasbase.dll esportabile e file Schannel. dll, eseguiti Export.reg per assicurarsi che solo TLS 1.0 FIPS cipher gruppi vengono utilizzati dal computer.

In un computer che esegue Windows NT 4.0 Service Pack 6 che include il Rasenh.dll non esportabile e file Schannel. dll, Non-export.reg per assicurarsi che solo TLS 1.0 FIPS cipher suite di esecuzione vengono utilizzati dal computer.

Per il file Schannel. dll riconoscere le modifiche nella chiave del Registro di sistema SCHANNEL, è necessario riavviare il computer.

Per ripristinare le impostazioni del Registro di sistema per impostazione predefinita, eliminare la chiave del Registro di sistema SCHANNEL e tutti gli elementi in essa. Se queste chiavi del Registro di sistema non sono presenti, il file Schannel. dll ricrea le chiavi quando si riavvia il computer.
Per le versioni successive di Windows
Le chiavi del Registro di sistema e il loro contenuto in Windows Server 2008, Windows 7 e Windows Server 2008 R2 un aspetto diversi dalle chiavi del Registro di sistema in Windows Server 2003 e versioni precedenti. Il percorso del Registro di sistema in Windows 7, Windows Server 2008 e Windows Server R2 di 20008 e i contenuti predefiniti sono i seguenti:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Questo contenuto viene visualizzato nel formato di esportazione standard di REGEDIT.

Note
  • La chiave del cifrario non deve contenere alcun valori o sottochiavi.
  • La chiave CipherSuites non deve contenere alcun valori o sottochiavi.
  • La chiave di hash non deve contenere alcun valori o sottochiavi.
  • La chiave KeyExchangeAlgorithms non deve contenere alcun valori o sottochiavi.
  • La chiave di protocolli deve contenere le seguenti sottochiavi e valore:
    • Protocolli
      • SSL 2.0
        • Client
          • DisabledByDefault REG_DWORD 0x00000001 (valore)
Windows Server 2008 supporta i seguenti protocolli:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 e Windows 7 supportano i seguenti protocolli:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
È possibile disattivare questi protocolli per il server o l'architettura client. Questo significa che il protocollo può essere omesso o disabilitato come segue:
  • Il protocollo può essere omesso dall'elenco dei protocolli supportati inclusi in Hello Client quando viene avviata una connessione SSL.
  • Il protocollo può essere disabilitato sul server in modo che il server non risponderà tramite tale protocollo, anche se un client richiede SSL 2.0.
Le sottochiavi di client e server designare ogni protocollo. È possibile disattivare un protocollo per il client o sul server. Tuttavia, la disattivazione di cifrari, hash o CipherSuites riguarda i lati client e server. È necessario creare il necessarie sottochiavi della chiave di protocolli per raggiungere questo obiettivo. Ad esempio:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Una volta create, le sottochiavi del Registro di sistema viene visualizzato come segue:



Per impostazione predefinita, i Client SSL 2.0 è disabilitato in Windows Server 2008, Windows Server 2008 R2 e Windows 7. Ciò significa che il computer non utilizzerà SSL 2.0 per avviare un Client Hello. Pertanto, il Registro di sistema viene visualizzato come segue:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Esattamente come i cifrari e KeyExchangeAlgorithms, protocolli possono essere attivati o disabilitati. Per attivare o disattivare un protocollo, come SSL 2.0, impostare i seguenti valori nel Registro di sistema sul client e server.

Nota Per abilitare o disabilitare SSL 2.0, è necessario abilitarlo o disabilitarlo sul computer client sia sul computer server.

Il percorso del Registro di sistema sul computer client SSL 2.0 è il seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Il percorso del Registro di sistema per SSL 2.0 sul computer server è la seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Per abilitare SSL 2.0, attenersi alla seguente procedura:
  1. Sul computer client, impostare il valore DWORD DisabledByDefault 00000000.
  2. Sul computer server, impostare il valore di DWORD abilitato su 0xffffffff.
  3. Riavviare il computer.
Per disabilitare SSL 2.0, attenersi alla seguente procedura:
  • Sul computer client, impostare il valore DWORD DisabledByDefault 00000001.
  • Sul computer server, impostare il valore DWORD abilitato su 00000000.
  • Riavviare il computer.

Note
  • Utilizzando il Enabled = 0x0 impostazione del Registro di sistema consente di disattivare il protocollo. Questa impostazione non può essere sovrascritta e attivata nella struttura grbitEnabledProtocols .
  • Utilizzando l'impostazione del Registro di sistema DisabledByDefault impedisce solo quel protocollo il comando Hello tramite tale protocollo quando viene avviata una connessione SSL con un server. Questa impostazione può essere sovrascritta e pertanto utilizzata se è incluso nella struttura grbitEnabledProtocols .
  • Per impedire che un protocollo in uso, utilizzare il Enabled = 0x0 impostazione.
SP6

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 245030 - Ultima revisione: 01/14/2016 17:12:00 - Revisione: 12.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtit
Feedback
/html>head")[0].appendChild(m);