特定の暗号化アルゴリズムおよび Schannel.dll のプロトコルの使用を制限する方法

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:245030
概要
この資料では、特定の暗号化アルゴリズムおよび Schannel.dll ファイル内のプロトコルの使用を制限する方法について説明します。この情報は、マイクロソフト暗号化 API (CAPI) 用に記述されている独立系ソフトウェア ベンダー (ISV) アプリケーションにも適用されます。

注: <b>Windows Server 2008 とそれ以降のバージョンの Windows に適用されるレジストリ キー、"それ以降のバージョンの Windows では"のセクションを参照してください。
詳細
Windows NT 4.0 の Service Pack 6 に含まれている次の暗号化サービス プロバイダー (Csp) の証明書を受賞しました FIPS 140-1 暗号化検証:
  • Microsoft ベース暗号化プロバイダー (名を指定)
  • Microsoft 拡張暗号化プロバイダー (Rsaenh.dll) (非エクスポート バージョン)
マイクロソフトの TLS と SSL セキュリティ プロバイダー、Schannel.dll ファイルは、Internet Explorer およびインターネット インフォメーション サービス (IIS) のサポートに SSL または TLS 経由でセキュリティで保護された通信を行うには、ここに記載されている Csp を使用します。

暗号スイート 1 および 2 をサポートする、Schannel.dll ファイルを変更することができます。ただし、プログラムが暗号スイート 1 および 2 もサポートする必要があります。暗号スイート 1 および 2 は、IIS 4.0 および 5.0 ではサポートされていません。

この資料には、TLS と SSL セキュリティ プロバイダーを Windows NT 4.0 Service Pack 6 およびそれ以降のバージョンを構成するために必要な情報が含まれています。特定 SSL 3.0 または TLS 1.0 暗号ベースの暗号化サービス プロバイダー、または強化された暗号化サービス プロバイダーでサポートされている暗号化アルゴリズムに対しての使用を制御するのには、Windows レジストリを使用できます。

注: <b>Windows NT 4.0 Service Pack 6、Schannel.dll ファイルを使用しません、Microsoft Base DSS 暗号化サービス プロバイダー (Dssbase.dll) または、Microsoft DS、Diffie-hellman 強化された暗号化サービス プロバイダー (Dssenh.dll)。

暗号スイート

両方の SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt)「TLS draft-ietf-tls-56-bit-ciphersuites-00.txt の 56 ビット エクスポート暗号スイート」のインターネット ドラフトには、TLS 1.0 (RFC2246) は、さまざまな暗号を使用するオプションを提供します。各暗号キー交換、認証、暗号化、および SSL や TLS セッションで使用される MAC アルゴリズムを決定します。RSA を使用して、キー交換と認証アルゴリズムの両方として、用語RSAが表示されることに対応する暗号スイート定義の 1 つだけの時間に注意してください。

ベース暗号化プロバイダーまたは強化された暗号化サービス プロバイダーを使用すると、Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダーは、以下 SSL 3.0 で定義されている"CipherSuite"をサポートします。
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00、0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00、0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00、0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00、0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00、0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00、0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00、0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00、0x64}
注: <b>SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA も SSL_RSA_EXPORT1024_WITH_RC4_56_SHA は、SSL 3.0 のテキストで定義されます。ただし、SSL 3.0 のいくつかのベンダーをサポートしています。これには、マイクロソフトが含まれます。

ベース暗号化プロバイダーまたは暗号化サービス プロバイダーの拡張を使用する場合、Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダーは、次 TLS 1.0 で定義されている"CipherSuite"をもサポートします。

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00、0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00、0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00、0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00、0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00、0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00、0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00、0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00、0x64}
注: <b>最初のバイト"0x00"を使用して定義されている暗号スイートは非プライベートで、相互運用可能なオープンなコミュニケーションのために使用したがって、Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダーに依存して相互運用性のことを確認するのには SSL 3.0 および TLS 1.0 で指定されているこれらの暗号スイートを使用する手順。

Schannel 固有のレジストリ キー

重要: このセクション、方法、タスクには、レジストリを変更する方法の手順が含まれています。ただし、レジストリが正しく変更されないと、深刻な問題が発生することがあります。そのため、次の手順に慎重に従ってください。また、念のため、レジストリを変更する前に、レジストリをバックアップしておいてください。そうすることで、問題が発生した場合にレジストリを復元できます。レジストリをバックアップおよび復元する方法についての詳細は、次の文書番号をクリックして、マイクロソフト サポート技術資料を参照してください。
322756 Windows でレジストリをバックアップおよび復元する方法
注: <b>暗号キーまたはハッシュ キーの内容に対して変更を加えた即座に有効システムの再起動なし。

SCHANNEL キー

レジストリ エディター (Regedt32.exe) を起動して、次のレジストリ キーを探します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols サブキー

(TLS 1.1 および TLS 1.2) などの既定ではネゴシエーションされませんが、プロトコルを使用するシステムを有効にするには、 DisabledByDefault値の DWORD 値のデータをプロトコルのキーの下の次のレジストリ キーには、 0x0に変更します。
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
警告:プロトコルのキーの下のレジストリ キーの DisabledByDefault 値は優先されません Schannel 認証情報のデータを格納する SCHANNEL_CRED 構造体で定義されている grbitEnabledProtocols の値にします。

SCHANNEL\Ciphers サブキー

DES、RC4 などの対称アルゴリズムの使用を制御するのには、SCHANNEL キーの下にある暗号のレジストリ キーを使用するとします。暗号キーの下の有効なレジストリ キーを次に示します。
SCHANNEL\Ciphers\RC4 128 128 台のサブキー
RC4 128 128 台

このサブキーは、128 ビットの RC4 を指します。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.または、[DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。このレジストリ キーは、SGC 証明書がない、エクスポート可能なサーバーには適用されません。

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
トリプル DES 168

このレジストリ キーは、168 ビットの Triple DES ANSI X9.52 と下書き FIPS 46-3 で指定されているを意味します。このレジストリ キーは、エクスポートのバージョンには適用されません。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.、DWORD のデータまたは変更するには 0x0.Enabled の値を構成しないと、既定値が有効になります。

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
注: <b>Windows Vista より前に、のリリースの Windows のバージョンでは、キーは、トリプル DES 168/168をする必要があります。
SCHANNEL\Ciphers\RC2 128 128 台のサブキー
RC2 128 128 台

このレジストリ キーは、128 ビット RC2 を指します。エクスポートのバージョンに適用されません。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

SCHANNEL\Ciphers\RC4 64 または 128 のサブキー
RC4 64/128

このレジストリ キーは、64 ビットの RC4 を指します。エクスポート バージョンには適用されません (ただし、Microsoft Money で使用されます)。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

SCHANNEL\Ciphers\RC4 56 と 128 のサブキー
RC4 56 と 128

このレジストリ キーは、56 ビットの RC4 を指します。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56 と 128 のサブキー
RC2 56 と 128

このレジストリ キーは 56 ビット RC2 を指します。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

SCHANNEL\Ciphers\RC2 56/56 サブキー

DES 56

このレジストリ キーは、56 ビットの DES FIPS 46-2 で指定されているを意味します。名を指定し、Rsaenh.dll ファイルでは、その実装は、FIPS 140-1 暗号化モジュール検証プログラムで検証されます。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 サブキー

RC4 40/128

40 ビットの RC4 を指します。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 サブキー

RC2 40/128

このレジストリ キーは、40 ビット RC2 を指します。

この暗号アルゴリズムは、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.Enabled の値を構成しないと、既定値が有効になります。

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL サブキー

NULL

このレジストリ キーは、暗号化がないことを意味します。既定で無効になっています。

暗号化を無効にする (すべての暗号アルゴリズムを許可しない)、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.

SCHANNEL/ハッシュ サブキー

SCHANNEL キー ハッシュ レジストリ キーは sha-1 と MD5 などのハッシュ アルゴリズムの使用を制御する使用されます。ハッシュ キーの下の有効なレジストリ キーを次に示します。

SCHANNEL\Hashes\MD5 サブキー

MD5

このハッシュ アルゴリズムを許可するには、既定値に、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA サブキー

SHA

このレジストリ キーでは、FIPS 180-1 で指定されているセキュア ハッシュ アルゴリズム (sha-1) を参照します。名を指定し、Rsaenh.dll ファイルでは、その実装は、FIPS 140-1 暗号化モジュール検証プログラムで検証されます。

このハッシュ アルゴリズムを許可するには、既定値に、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD 値のデータを変更します。 0x0.

このアルゴリズムを効果的に無効にすることは、次を禁止します。
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms サブキー

SCHANNEL キーの下の KeyExchangeAlgorithms レジストリ キーは RSA などのキー交換アルゴリズムの使用を制御するために使用されます。KeyExchangeAlgorithms キーの下の有効なレジストリ キーを次に示します。

SCHANNEL\KeyExchangeAlgorithms\PKCS サブキー
PKCS

このレジストリ キーは、キー交換と認証アルゴリズムとして RSA を指します。

RSA を使用するには、既定値に、有効値の DWORD 値のデータを変更します。 0 xffffffff.それ以外の場合、DWORD のデータを変更するには 0x0.

RSA を効果的に無効にするには、すべての RSA に基づく SSL および TLS 暗号スイート Windows NT4 SP6 マイクロソフト TLS と SSL セキュリティ プロバイダーでサポートされているが認められません。

FIPS 140-1 暗号スイート

のみ、SSL 3.0 または TLS 1.0 暗号 FIPS 46-3 または FIPS 46-2、および Microsoft ベースまたは暗号化サービス プロバイダーの拡張によって提供される FIPS 180-1 のアルゴリズムに対応するを使用することがあります。

この記事で私たちを参照してくださいに FIPS 140-1 暗号として。具体的には、そのとおりです。
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
使用してのみ FIPS 140-1 暗号定義されているここでは以下のレジストリ キーの有効値の DWORD 値のデータを構成する Windows NT 4.0 サービス パック 6 Microsoft TLS と SSL セキュリティ プロバイダー ベースの暗号化サービス プロバイダーまたは強化された暗号化サービス プロバイダーでサポートされています。 0x0:
  • SCHANNEL\Ciphers\RC4 128 128 台
  • SCHANNEL\Ciphers\RC2 128 128 台
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56 と 128
  • SCHANNEL\Ciphers\RC2 56 と 128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
有効値の DWORD 値のデータを構成するのには、次のレジストリ キーで、 0 xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168 168/"[エクスポート バージョンには適用できません]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 暗号スイートを使用して、マスター シークレットの計算

FIPS 140-1 暗号スイートでは、SSL 3.0 と TLS 1.0 では、FIPS 140-1 暗号スイートを使用する手順は異なるを使用するための手順です。

SSL 3.0 では、次に、定義 master_secret を計算します。

TLS 1.0 では、次に、定義 master_secret を計算します。

場所:

TLS 1.0 でのみ FIPS 140-1 暗号を使用するオプションを選択するには。

このためお客様は暗号スイートの許容セットが FIPS 140-1 暗号スイートのサブセットのみに制限されている場合でも、SSL 3.0 の使用を禁止する必要があります。有効値の DWORD 値のデータを変更する場合は、 0x0 でプロトコルのキーの下の次のレジストリ キー。
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
警告:プロトコルのキーの下のこれらのレジストリ キーの有効値のデータは、Schannel の資格情報のデータを格納する SCHANNEL_CRED 構造体で定義されている grbitEnabledProtocols 値よりも優先されます。既定の有効値のデータは、します。 0 xffffffff.

レジストリ ファイルの例

構成のレジストリ ファイルの内容の 2 つの例は、この資料のこのセクションで提供されます。Export.reg および非 export.reg は。

コンピューターで実行している Windows NT 4.0 の Service Pack 6 でエクスポート可能な Rasbase.dll と、Schannel.dll ファイルを Export.reg のみ TLS 1.0 の FIPS 暗号化スイートであるかどうかを確認するのには、コンピューターで使用します。

エクスポートできない Rasenh.dll を含む Windows NT 4.0 の Service Pack 6 を実行しているコンピューターでとのみ TLS 1.0 の FIPS 暗号化スイートであるかどうかを確認するには、非-export.reg を実行する、Schannel.dll ファイルがコンピューターで使用されます。

SCHANNEL レジストリ キーの下のすべての変更を認識するように、Schannel.dll ファイルには、コンピューターを再起動する必要があります。

レジストリ設定を既定値を返すには、SCHANNEL レジストリ キーとその下のすべてを削除します。これらのレジストリ キーが存在しない場合は、コンピューターを再起動すると、Schannel.dll キー再構築します。
Windows の以降のバージョンの
レジストリ キーとそのコンテンツを Windows Server 2008、Windows 7 および Windows Server 2008 R2 では、Windows Server 2003 およびそれ以前のバージョンのレジストリ キーとは異なる確認します。Windows 7、Windows Server 2008 では、および Windows Server 20008 R2 および既定のレジストリの場所は次のとおりです。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
"EventLogging"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001

このコンテンツは、標準のレジストリ エディターのエクスポート形式で表示されます。

注:
  • 値またはサブキーは、暗号キーは含まれません。
  • 値またはサブキー CipherSuites キーは含まれません。
  • サブキーまたは値のハッシュのキーは含まれません。
  • 値またはサブキーは、KeyExchangeAlgorithms キーが含まれません。
  • プロトコルのキーには、以下のサブキーと値を含める必要があります。
    • プロトコル
      • SSL 2.0
        • クライアント
          • DisabledByDefault REG_DWORD 0x00000001 (値)
Windows Server 2008 には、次のプロトコルがサポートされています。
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 と Windows 7 は、次のプロトコルをサポートしています。
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
サーバーまたはクライアントのアーキテクチャには、これらのプロトコルを無効にできます。つまり、プロトコルを省略したか、次のように無効にします。
  • SSL 接続の開始時に、"Client Hello" に含まれているサポートされているプロトコルの一覧から、プロトコルを省略できます。
  • サーバの場合でも、クライアントが SSL 2.0 を要求するプロトコルを使用して応答がないように、サーバー上でプロトコルを無効にできます。
クライアントとサーバーのサブキーは、各プロトコルを指定します。クライアントまたはサーバーのいずれかのプロトコルを無効にすることができます。ただし、暗号化、ハッシュ、または CipherSuites を無効にすると、クライアントとサーバー側の両方が影響します。これを達成するためにプロトコルのキーの下で必要なサブキーを作成する必要があります。次に例を示します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
サブキーが作成されると、レジストリは次のように表示されます。



既定では、クライアントの SSL 2.0 は Windows Server 2008、Windows Server 2008 R2、Windows 7 で無効になります。これは、コンピューターが、クライアントこんにちはを開始するのには SSL 2.0 を使用はことを意味します。そのため、レジストリが次のように表示されます。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"= dword:00000001
暗号は、KeyExchangeAlgorithms のように正確にプロトコルを有効または無効にすることができます。SSL 2.0 などのプロトコルを無効にするを有効または、クライアントとサーバー上のシステム レジストリの次の値を設定します。

注: <b>SSL 2.0 を無効にするを有効またはを有効にするか、クライアント コンピューターとサーバー コンピューターの両方で無効にしてください。

SSL 2.0 のクライアント コンピューター上のレジストリの場所は次のとおりです。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

サーバー コンピューターで SSL 2.0 のレジストリの場所は次のとおりです。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

SSL 2.0 を有効にするには、次の手順を実行します。
  1. クライアント コンピューターで、DisabledByDefault の DWORD 値を 00000000 に設定します。
  2. サーバー コンピューターで、0 xffffffff に有効になっている DWORD 値を設定します。
  3. コンピューターを再起動します。
SSL 2.0 を無効にするには、次の手順を実行します。
  • クライアント コンピューターで、DisabledByDefault の DWORD 値を 00000001 に設定します。
  • サーバー コンピューターで、有効になっている DWORD 値を 00000000 に設定します。
  • コンピューターを再起動します。

注:
  • 使用して、有効 = 0x0レジストリ設定は、プロトコルを無効にします。この設定は上書きされ、 grbitEnabledProtocols構造体に有効になっていることはできません。
  • DisabledByDefaultレジストリ設定を使用してのみできなくなりますプロトコルをサーバーとの SSL 接続が開始されると、そのプロトコル上で、こんにちはコマンドを発行します。この設定を上書きされ、したがって、 grbitEnabledProtocols構造体に含まれる場合を使用します。
  • プロトコルが使用されていることを防止するには、有効 0x0 の =の設定です。
sp6

警告: この記事は自動翻訳されています

プロパティ

文書番号:245030 - 最終更新日: 01/14/2016 17:13:00 - リビジョン: 22.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtja
フィードバック