현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

Schannel.dll에서 특정 프로토콜과 암호화 알고리즘의 사용을 제한 하는 방법

Windows XP에 대한 지원이 종료되었습니다.

Microsoft는 2014년 4월 8일 Windows XP에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

2015년 7월 14일 Windows Server 2003 지원 종료

Microsoft는 2015년 7월 14일 Windows Server 2003에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:245030
요약
Schannel.dll 파일의 특정 프로토콜과 암호화 알고리즘의 사용을 제한 하는 방법을 설명 합니다. 이 정보에는 Microsoft 암호화 API (CAPI) 작성 된 독립 소프트웨어 공급 업체 (ISV) 응용 프로그램에도 적용 됩니다.

참고: Windows Server 2008 및 이후 버전의 Windows에 적용 되는 레지스트리 키에 대 한 "For Windows 최신 버전" 절을 참조.
추가 정보
Windows NT 4.0 서비스 팩 6에 포함 된 다음과 같은 암호화 서비스 공급자 (Csp)에 대 한 인증서를 수 여 된 FIPS 140-1 암호화 유효성 검사:
  • Microsoft 기반 암호화 공급자 (Rsabase.dll)
  • Microsoft 고급 암호화 공급자 (Rsaenh.dll) (비-내보내기 버전)
Schannel.dll 파일을 Microsoft TLS/SSL 보안 공급자는 다음과 같은 Internet Explorer 및 인터넷 정보 서비스 (IIS)에 대 한 지원에서 SSL 또는 TLS를 통해 보안 통신을 수행 하는 Csp를 사용 합니다.

암호화 그룹 1 및 2를 지원 하도록 Schannel.dll 파일을 변경할 수 있습니다. 그러나 프로그램이 암호화 그룹 1 및 2 지원 해야 합니다. IIS 4.0 및 5.0에서 암호화 그룹 1 및 2 지원 되지 않습니다.

이 문서는 TLS/SSL 보안 공급자에 대 한 Windows NT 4.0 서비스 팩 6 및 이후 버전을 구성 하는 데 필요한 정보가 포함 되어 있습니다. 기반 암호화 공급자 또는 향상 된 암호화 공급자에서 지원 되는 암호화 알고리즘에 대 한 특정 SSL 3.0 또는 TLS 1.0 암호 그룹의 사용을 제어 하려면 Windows 레지스트리를 사용할 수 있습니다.

참고: Windows NT 4.0 서비스 팩 6에서 Schannel.dll 파일 Microsoft 기반 DSS 암호화 공급자 (Dssbase.dll) 또는 Microsoft DS/Diffie-hellman 향상 된 암호화 공급자 (Dssenh.dll)를 사용 하지 않습니다.

암호 그룹

SSL 3.0 둘 다 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt)와 인터넷-초안 "TLS draft-ietf-tls-56-bit-ciphersuites-00.txt에 56 비트 내보내기 암호 그룹" TLS 1.0 (RFC2246) 다른 암호 그룹을 사용 하는 옵션을 제공 하 고 있습니다. 키 교환, 인증, 암호화 및 MAC 알고리즘은 SSL/TLS 세션에 사용 되는 각 암호화 제품군에 따라 결정 됩니다. RSA 키 교환 및 인증 알고리즘을 사용 하면 용어 RSA 나타나는지 확인 한 시간에 해당 하는 암호화 제품군 정의 합니다.

기반 암호화 공급자 또는 향상 된 암호화 공급자를 사용할 때 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 다음 SSL 3.0 정의 된 "CipherSuite"를 지원 합니다.
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00 0x64}
참고: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA와 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA 모두는 SSL 3.0 텍스트에서 정의 됩니다. 그러나 SSL 3.0의 여러 공급 업체 지원. Microsoft 포함 됩니다.

기반 암호화 공급자 또는 향상 된 암호화 공급자를 사용할 때 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 다음 TLS 1.0 정의 된 "CipherSuite"를 또한 지원 합니다.

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00 0x64}
참고: 첫 번째 바이트 "0x00"를 사용 하 여 정의 되어 있는 암호화 제품군 전용이 아닌 이며 상호 운용 가능한 열린 통신에 사용 됩니다. 따라서 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 SSL 3.0 및 TLS 1.0에 지정 된 대로 이러한 암호 그룹을 사용 하 여 상호 운용성을 확인 하는 절차를 따릅니다.

샤넬 특정 레지스트리 키

중요: 이 섹션, 방법 또는 작업은 레지스트리를 수정하는 방법을 설명하는 단계를 포함합니다. 그러나, 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의 깊게 수행해야 합니다. 추가 보호 조치로, 해당 레지스트리를 수정하기 전에 미리 백업하세요. 그런 다음, 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은, Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
322756 Windows에서 레지스트리를 백업 및 복원하는 방법
참고: 암호 키 또는 해시 키의 내용에 변경 내용이 시스템을 다시 시작 하지 않고 즉시 적용 됩니다.

샤넬 키

레지스트리 편집기 (Regedt32.exe)를 시작한 후 다음 레지스트리 키를 찾습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols 하위 키

프로토콜 (예: TLS 1.1 및 TLS 1.2)는 기본적으로 협상 되지 것입니다을 사용 하 여 시스템을 사용 하려면 DisabledByDefault 값의 DWORD 값 데이터 프로토콜 키에 다음 레지스트리 키에서 0x00x0 변경 합니다.
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
경고 프로토콜 키 아래의 레지스트리 키에서 DisabledByDefault 값 Schannel 자격 증명에 대 한 데이터가 들어 있는 SCHANNEL_CRED 구조에 정의 된 grbitEnabledProtocols 값 보다 우선 하지 않습니다.

SCHANNEL\Ciphers 하위 키

샤넬 키 암호화 레지스트리 키의 DES 및 RC4 대칭 알고리즘 사용을 제어 하는 데 사용 됩니다. 다음은 암호 키 아래에 올바른 레지스트리 키입니다.
128/128 SCHANNEL\Ciphers\RC4 하위 키
RC4 128/128

이 하위 키는 128 비트 RC4 참조합니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. DWORD 값 데이터를 변경 하거나 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다. 이 레지스트리 키를 SGC 인증서는 되어 있지 않은 내보낼 수 있는 서버에 적용 되지 않습니다.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
DES 168

이 레지스트리 키는 ANSI X9.52 및 초안 FIPS 46-3에 지정 된 대로 168 비트 DES 참조합니다. 이 레지스트리 키 내보내기 버전에 적용 되지 않습니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. DWORD 데이터를 변경 하거나 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
참고: Windows Vista 이전에 해제 된 windows 버전에서는 키 Triple DES 168/168이어야 합니다.
128/128 SCHANNEL\Ciphers\RC2 하위 키
RC2 128/128

이 레지스트리 키는 128 비트 RC2 참조합니다. 내보내기 버전에 적용 되지 않습니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

SCHANNEL\Ciphers\RC4 64/128 하위 키
R C 4 64/128

이 레지스트리 키를 64 비트 RC4 참조합니다. 그 내보내기 버전에 적용 되지 않습니다 (그러나 보여 사용 됩니다).

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

56/128 SCHANNEL\Ciphers\RC4 하위 키
R C 4 56/128

이 레지스트리 키를 56 비트 RC4 참조합니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
56/128 SCHANNEL\Ciphers\RC2 하위 키
RC2 56/128

이 레지스트리 키를 56 비트 RC2 참조합니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

하위 SCHANNEL\Ciphers\RC2 56/56

DES 56

이 레지스트리 키를 FIPS 46-2 지정 된 대로 56 비트 DES 참조합니다. Rsabase.dll 및 Rsaenh.dll 파일 구현은 FIPS 140-1 암호화 모듈 유효성 검사 프로그램에서 검사 됩니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 하위 키

RC4 40/128

이 40 비트 RC4 참조합니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 하위 키

RC2 40/128

이 레지스트리 키는 40 비트 RC2 참조합니다.

이 암호화 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL 하위 키

NULL

이 레지스트리 키는 암호화를 의미합니다. 기본적으로 꺼져 있습니다.

암호화를 해제 하려면 (허용 하지 않으려면 모든 암호화 알고리즘)를 사용 값의 DWORD 값 데이터를 변경 합니다. 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0.

샤넬/해시 하위 키

샤넬 키에서 해시 레지스트리 키를 MD5 및 s h A 1와 같은 해시 알고리즘의 사용을 제어 하는 데 사용 됩니다. 다음은 해시 키 아래에 올바른 레지스트리 키입니다.

SCHANNEL\Hashes\MD5 하위 키

M D 5

이 해시 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터의 기본값을 변경 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA 하위 키

S H A

이 레지스트리 키를 FIPS 180-1에에서 지정 된 보안 해시 알고리즘 (sha-1)를 참조합니다. Rsabase.dll 및 Rsaenh.dll 파일 구현은 FIPS 140-1 암호화 모듈 유효성 검사 프로그램에서 검사 됩니다.

이 해시 알고리즘을 허용 하려면 Enabled 값의 DWORD 값 데이터의 기본값을 변경 0xffffffff. 그렇지 않은 경우 DWORD 값 데이터를 변경 0x0.

이 알고리즘을 효과적으로 사용을 허용 하지 않습니다 다음:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

샤넬/KeyExchangeAlgorithms 하위 키

샤넬 키에서 KeyExchangeAlgorithms 레지스트리 키를 같은 RSA 키 교환 알고리즘의 사용을 제어 하는 데 사용 됩니다. 다음은 KeyExchangeAlgorithms 키 아래에 올바른 레지스트리 키입니다.

SCHANNEL\KeyExchangeAlgorithms\PKCS 하위 키
PKCS

이 레지스트리 키에서는 RSA 키 교환 및 인증 알고리즘 라고 합니다.

RSA를 사용 값의 DWORD 값 데이터의 기본값을 변경 0xffffffff. 그렇지 않으면 DWORD 데이터 변경 0x0.

RSA를 효과적으로 사용 하지 않도록 설정 허용 모든 RSA 기반 SSL과 TLS 암호 그룹을 Windows NT4 s p 6 Microsoft TLS/SSL 보안 공급자가 지원 하지 않습니다.

FIPS 140-1 암호 그룹

만 SSL 3.0 또는 TLS 1.0 암호군에 FIPS 46-3 또는 FIPS 46-2와 Microsoft 자료 나 향상 된 암호화 공급자가 제공 하는 FIPS 180-1 알고리즘을 사용 하는 것이 좋습니다.

이 문서에서는 우리가 이라고 FIPS 140-1 암호 그룹. 구체적으로 다음과 같습니다.
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
여기에 사용할 FIPS 140-1 암호 그룹에만 정의 된 대로 다음 레지스트리 키에서 Enabled 값의 DWORD 값 데이터를 구성 기반 암호화 공급자 또는 향상 된 암호화 공급자를 사용 하 여 Windows NT 4.0 서비스 팩 6 Microsoft 보안 공급자 TLS/SSL을 지원 하 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
다음 레지스트리 키에서 Enabled 값의 DWORD 값 데이터를 구성 하 고 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[내보내기 버전에 적용 되지 않음]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 암호 그룹을 사용 하 여 마스터 비밀 계산

FIPS 140-1 암호화 제품군 SSL 3.0에서 TLS 1.0에서 FIPS 140-1 암호 그룹을 사용 하기 위한 절차를 다 사용 하기 위한 절차입니다.

SSL 3.0 다음은 정의 master_secret 계산입니다.

TLS 1.0 다음은 정의 master_secret 계산입니다.

위치:

TLS 1.0에만 FIPS 140-1 암호 그룹을 사용 하 여 옵션을 선택 합니다.

이러한 차이점으로 인해 고객이 허용된 집합이 암호 그룹의 FIPS 140-1 암호 그룹 하위 집합만 제한 되었습니다 경우에 SSL 3.0 사용 금지 할 수 있습니다. 이 경우 사용 값의 DWORD 값 데이터를 변경 합니다. 0x0 프로토콜 키에 다음 레지스트리 키:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
경고 프로토콜 키에 다음 레지스트리 키에서 Enabled 값 데이터 Schannel 자격 증명에 대 한 데이터가 들어 있는 SCHANNEL_CRED 구조에 정의 된 grbitEnabledProtocols 값 보다 우선 합니다. 기본 사용 값 데이터는 0xffffffff.

예제 레지스트리 파일

레지스트리 파일 내용 구성에 대 한 두 가지 예제는이 문서의 다음이 절에 제공 됩니다. 이들이 Export.reg 고 export.reg 비입니다.

컴퓨터에서 실행 하는 Windows NT 4.0 서비스 팩 6으로 내보낼 수 있는 Rasbase.dll 및 실행만 TLS 1.0 FIPS 암호화 제품군을 되도록 Export.reg Schannel.dll 파일을 컴퓨터에 의해 사용 됩니다.

Windows NT 4.0 서비스 팩 6을 실행 하는 컴퓨터에서 내보낼 수 없는 Rasenh.dll를 포함 하 고 실행만 TLS 1.0 FIPS 암호화 제품군을 되도록 비 export.reg Schannel.dll 파일을 컴퓨터에서 사용.

Schannel.dll 파일 샤넬 레지스트리 키 아래의 모든 변경 내용을 인식 하도록 컴퓨터를 다시 시작 해야 합니다.

레지스트리 설정을 기본값으로 되돌리려면 샤넬 레지스트리 키 및 그 아래의 모든 항목을 삭제 합니다. 이러한 레지스트리 키는 없을 경우 해당 Schannel.dll 컴퓨터를 다시 시작 키를 다시 작성 합니다.
이후 버전의 Windows에 대 한
레지스트리 키 및 Windows Server 2008, Windows 7 및 Windows Server 2008 r 2에서 해당 내용을 다른 Windows Server 2003 및 이전 버전에서 레지스트리 키를 찾습니다. Windows 7, Windows Server 2008 및 Windows Server 20008 R2 및 기본 내용에서 레지스트리 위치는 다음과 같습니다.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

이 콘텐츠는 표준 REGEDIT 내보내기 형식으로 표시 됩니다.

메모
  • 암호화 키 값 또는 하위 키가 없으므로 포함 되어야 합니다.
  • 없음 값 이나 하위 키 암호가 있어야 합니다.
  • 해시 키 값 또는 하위 키가 없으므로 포함 되어야 합니다.
  • KeyExchangeAlgorithms 키 값 또는 하위 키가 없으므로 포함 되어야 합니다.
  • 프로토콜 키 다음 하위 키 및 값을 포함 해야 합니다.
    • 프로토콜
      • SSL 2.0
        • 클라이언트
          • DisabledByDefault REG_DWORD 0x00000001 (값)
Windows Server 2008 다음과 같은 프로토콜을 지원합니다.
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 및 Windows 7는 다음 프로토콜을 지원합니다.
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
서버 또는 클라이언트 아키텍처에 대 한 이러한 프로토콜을 비활성화할 수 있습니다. 즉, 프로토콜을 생략 하거나 다음과 같이 사용할 수 있습니다.
  • SSL 연결을 시작할 때 해당 클라이언트가 Hello에 포함 되어 있는 지원 되는 프로토콜 목록에서 프로토콜을 생략할 수 있습니다.
  • 서버는 클라이언트가 SSL 2.0을 요청 하는 경우에 해당 프로토콜을 사용 하 여 응답 하지 않습니다 있도록 프로토콜 서버에서 해제할 수 있습니다.
클라이언트 및 서버 하위 키 각 프로토콜을 지정합니다. 클라이언트 또는 서버에 대 한 프로토콜을 비활성화할 수 있습니다. 그러나 암호화, 해시, 또는 암호가 해제 하면 클라이언트와 서버 양쪽에 적용 됩니다. 이 프로토콜 키 필요한 하위 키를 만들 것입니다. 예를 들어:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
하위 키를 만든 후 레지스트리에 다음과 같이 표시 됩니다.



기본적으로 SSL 2.0 클라이언트는 Windows Server 2008, Windows Server 2008 R2 및 Windows 7에서 사용할 수 없습니다. 즉, 컴퓨터가 시작 된 클라이언트 Hello SSL 2.0을 사용 하지 않습니다. 따라서 레지스트리에 다음과 같이 표시 됩니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
KeyExchangeAlgorithms, 암호와 동일 하 게 프로토콜을 사용 또는 사용할 수 있습니다. 를 사용 하거나 SSL 2.0 등의 프로토콜을 사용 하지 않도록 설정 하려면 클라이언트와 서버에서 시스템 레지스트리에 다음 값을 설정 합니다.

참고: 를 사용 하거나 SSL 2.0을 사용 하지 않도록 설정 하려면 사용 하거나 클라이언트 컴퓨터와 서버 컴퓨터에서 사용 하지 않도록 설정 해야 합니다.

클라이언트 컴퓨터에서 SSL 2.0에 대 한 레지스트리 위치는 다음과 같습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

서버 컴퓨터에 SSL 2.0에 대 한 레지스트리 위치는 다음과 같습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

SSL 2.0을 사용 하려면 다음과이 같이 하십시오.
  1. 클라이언트 컴퓨터에서 DisabledByDefault DWORD 값을 00000000으로 설정 합니다.
  2. 서버 컴퓨터에서 사용할 수 있는 DWORD 값 0xffffffff로 설정 합니다.
  3. 컴퓨터를 다시 시작합니다.
SSL 2.0을 사용 하지 않으려면 다음과이 같이 하십시오.
  • 클라이언트 컴퓨터에서 00000001 DisabledByDefault DWORD 값을 설정 합니다.
  • 서버 컴퓨터에서 사용 DWORD 값을 00000000을 설정 합니다.
  • 컴퓨터를 다시 시작합니다.

메모
  • 사용 하는 사용 0x0 = 레지스트리 설정은 프로토콜을 해제 합니다. 이 설정은 덮어쓰고 grbitEnabledProtocols 구조에서 사용할 수 없습니다.
  • DisabledByDefault 레지스트리 설정을 사용 하는 것을 금지 해당 프로토콜에서 서버와의 SSL 연결이 시작 될 때 해당 프로토콜을 통해 Hello 명령을 실행. 이 설정은 덮어쓰고 grbitEnabledProtocols 구조에 포함 되어 있는 경우에 따라서 사용할 수 있습니다.
  • 프로토콜을 사용 하지 않도록 하려면 사용 된 사용 0x0 = 설정 합니다.
s p 6

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 245030 - 마지막 검토: 07/03/2016 15:31:00 - 수정: 12.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtko
피드백