Você está offline; aguardando reconexão

Como restringir o uso de determinados algoritmos criptográficos e protocolos no Schannel. dll

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 245030
Sumário
Este artigo descreve como restringir o uso de determinados algoritmos criptográficos e protocolos no arquivo Schannel dll. Essas informações também se aplica a aplicativos de ISV (fornecedor) de software independentes que são escritos para Microsoft Cryptographic API (CAPI).

Observação: Para chaves do registro que se aplicam ao Windows Server 2008 e versões posteriores do Windows, consulte a seção "para versões posteriores do Windows".
Mais Informações
Os seguintes provedores de serviços de criptografia (CSPs) que estão incluídos no Windows NT 4.0 Service Pack 6 foram concedidos certificados para Validação de criptografia FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase. dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh. dll) (versão de exportação não)
Microsoft TLS/SSL Security Provider, o arquivo Schannel dll, usa os CSPs listados aqui para conduzir uma comunicação segura sobre SSL ou TLS no seu suporte para o Internet Explorer e o Internet Information Services (IIS).

Você pode alterar o arquivo Schannel dll para oferecer suporte ao conjunto de codificação 1 e 2. No entanto, o programa também deve suportar o conjunto de codificação 1 e 2. Conjunto de codificação 1 e 2 não são suportados no IIS 4.0 e 5.0.

Este artigo contém as informações necessárias para configurar o TLS/SSL Security Provider para Windows NT 4.0 Service Pack 6 e versões posteriores. Você pode usar o registro do Windows para controlar o uso de conjuntos específicos de codificação de SSL 3.0 ou TLS 1.0 com respeito os algoritmos criptográficos que são suportados pelo provedor criptográfico Base ou Enhanced Cryptographic Provider.

Observação: No Windows NT 4.0 Service Pack 6, o arquivo Schannel dll não usa o Microsoft Base DSS Cryptographic Provider (Dssbase.dll) ou o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (dssenh. dll).

Conjuntos de codificação

Tanto SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt) e TLS 1.0 (RFC2246) com a INTERNET-rascunho "56 bits conjuntos de codificação de exportação para TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" fornecem opções para usar conjuntos de codificação diferentes. Cada conjunto de codificação determina a troca de chaves, autenticação, criptografia e algoritmos de MAC são usados em uma sessão SSL/TLS. Observe que quando você usar RSA como algoritmos de autenticação e troca de chaves, o termo RSA aparece apenas uma vez nas definições de conjunto de codificação correspondente.

O Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider suporta a seguir definidas pelo SSL 3.0 "CipherSuite" quando você usa o provedor de criptografia Base ou Enhanced Cryptographic Provider:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Observação: Nem SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA nem SSL_RSA_EXPORT1024_WITH_RC4_56_SHA é definido no texto do SSL 3.0. No entanto, vários fornecedores de SSL 3.0 suportá-los. Isso inclui o Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider também suporta o seguinte definido TLS 1.0 "CipherSuite" quando você usar o provedor criptográfico de Base ou Enhanced Cryptographic Provider:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Observação: Um conjunto de codificação que é definido usando-se o primeiro byte "0x00" é não-particular e é usado para comunicação interoperável aberta. Portanto, o Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider segue os procedimentos para usar esses conjuntos de cifras conforme especificado no SSL 3.0 e TLS 1.0 para certificar-se de interoperabilidade.

Chaves de registro específicas do schannel

Importante: Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
Observação: Qualquer alteração no conteúdo de tecla a CODIFICAÇÕES ou HASHES terão efeito imediatamente, sem uma reinicialização do sistema.

Chave SCHANNEL

Inicie o Editor do registro (Regedt32.exe) e, em seguida, localize a seguinte chave do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Subchave SCHANNEL\Protocols

Para ativar o sistema para usar os protocolos que não serão negociados por padrão (como o TLS 1.1 e o TLS 1.2), altere os dados do valor DWORD do valor DisabledByDefault para 0x0 nas seguintes chaves do registro sob a chave de protocolos:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Aviso O valor DisabledByDefault nas chaves do registro sob a chave de protocolos não têm precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial Schannel.

Subchave SCHANNEL\Ciphers

A chave de registro codificações sob a chave SCHANNEL é usada para controlar o uso de algoritmos simétricos como o DES e o RC4. A seguir estão as chaves de registro válido sob a chave de codificações.
Subchave SCHANNEL\Ciphers\RC4 128/128
RC4 DE 128/128

Essa subchave refere-se ao RC4 de 128 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Ou, alterar os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado. Essa chave do registro não se aplica a um servidor exportável que não tem um certificado SGC.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
DES triplo 168

Essa chave do registro se refere a Triple DES de 168 bits conforme especificado em ANSI X9.52 e rascunho FIPS 46-3. Essa chave do registro não é aplicável para a versão de exportação.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Ou, altere os dados DWORD 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Observação: Para as versões do Windows que libera antes do Windows Vista, a chave deve ser Triple DES 168/168.
Subchave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Essa chave do registro refere-se ao RC2 de 128 bits. Ela não é aplicada para a versão de exportação.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Subchave SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Essa chave do registro se refere a 64-bit RC4. Ele não se aplica à versão de exportação (mas é usado no Microsoft Money).

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Subchave de 56/128 SCHANNEL\Ciphers\RC4
RC4 DE 128/56

Essa chave do registro se refere ao RC4 de 56 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Subchave de 56/128 SCHANNEL\Ciphers\RC2
RC2 56/128

Essa chave do registro refere-se ao RC2 de 56 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Subchave de 56/56 SCHANNEL\Ciphers\RC2

DES DE 56

Essa chave do registro se refere a DES de 56 bits conforme especificado no FIPS 46-2. Sua implementação nos arquivos Rsabase. dll e Rsaenh. dll é validada sob o programa de validação FIPS 140-1 criptografia módulo.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Subchave SCHANNEL\Ciphers\RC4 40/128

RC4 DE 40/128

Refere-se ao RC4 de 40 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Subchave SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

Essa chave do registro refere-se ao RC2 de 40 bits.

Para permitir que esse algoritmo de codificação, altere os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se você não definir o valor de ativado, o padrão é ativado.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Ciphers\NULL

NULL

Essa chave do registro significa sem criptografia. Por padrão, ela está desativada.

Para desativar a criptografia (impedir que todos os algoritmos de codificação), alterar os dados do valor DWORD do valor de Enabled para 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Subchave SCHANNEL/Hashes

A chave de registro Hashes sob a chave SCHANNEL é usada para controlar o uso de algoritmos de hash como o SHA-1 e MD5. A seguir estão as chaves de registro válido sob a chave de Hashes.

Subchave SCHANNEL\Hashes\MD5

MD5

Para permitir que esse algoritmo de hash, altere os dados do valor DWORD do valor de Enabled para o valor padrão 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Hashes\SHA

SHA

Essa chave do registro refere-se ao algoritmo de Hash seguro (SHA-1), conforme especificado no FIPS 180-1. Sua implementação nos arquivos Rsabase. dll e Rsaenh. dll é validada sob o programa de validação FIPS 140-1 criptografia módulo.

Para permitir que esse algoritmo de hash, altere os dados do valor DWORD do valor de Enabled para o valor padrão 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desabilitar esse algoritmo efetivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subchave SCHANNEL/KeyExchangeAlgorithms

A chave de registro KeyExchangeAlgorithms sob a chave SCHANNEL é usada para controlar o uso de algoritmos de troca de chaves como RSA. A seguir estão as chaves de registro válido sob a chave KeyExchangeAlgorithms.

Subchave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Essa chave do registro refere-se ao RSA como os algoritmos de troca e a autenticação de chave.

Para permitir que o RSA, altere os dados do valor DWORD do valor de Enabled para o valor padrão 0xFFFFFFFF. Caso contrário, altere os dados DWORD 0x0.

Desativar o RSA efetivamente proíbe todos baseados em RSA SSL e TLS conjuntos de codificação suportados pelo Windows NT4 SP6 Microsoft TLS/SSL Security Provider.

FIPS 140-1 cipher suites

Convém usar somente esses SSL 3.0 ou TLS 1.0 conjuntos de codificação que correspondem ao FIPS 46-3 ou FIPS 46-2 e algoritmos de 180-1 FIPS fornecidos pelo Microsoft Base ou Enhanced Cryptographic Provider.

Neste artigo, nós nos referimos a eles como FIPS 140-1 cipher suites. Especificamente, eles são os seguintes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Usar somente o FIPS 140-1 cipher suites conforme definido aqui e suportado pelo Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider com Base Cryptographic Provider ou com o provedor de criptografia avançada, configurar os dados do valor DWORD do valor de ativado nas seguintes chaves do registro para 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • 56/128 SCHANNEL\Ciphers\RC4
  • 56/128 SCHANNEL\Ciphers\RC2
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
E configure os dados do valor DWORD do valor de ativado nas seguintes chaves do registro para 0xFFFFFFFF:
  • 56/56 SCHANNEL\Ciphers\DES
  • SCHANNEL\Ciphers\Triple DES 168/168"[não é aplicável na versão de exportação]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Computação segreda mestre usando FIPS 140-1 cipher suites

Os procedimentos para usar a codificação de 140-1 FIPS conjuntos SSL 3.0 diferem dos procedimentos para usar os FIPS 140-1 cipher suites no TLS 1.0.

SSL 3.0, a seguir está a computação de master_secret definição:

TLS 1.0, o seguinte é a computação de master_secret definição:

onde:

Selecionando a opção de usar apenas o FIPS 140-1 cipher suites no TLS 1.0:

Devido a essa diferença, os clientes talvez queira proibir o uso do SSL 3.0, mesmo que o conjunto de conjuntos de codificação permitido é limitado a apenas o subconjunto de FIPS 140-1 cipher suites. Nesse caso, altere o dado do valor DWORD do valor de Enabled para 0x0 nas seguintes chaves do registro sob a chave de protocolos:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Aviso Os dados do valor de Enabled nessas chaves do registro sob a chave de protocolos tem precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial Schannel. Os dados de valor padrão ativado 0xFFFFFFFF.

Arquivos de registro de exemplo

Dois exemplos de conteúdo do arquivo de registro de configuração são fornecidos nesta seção do artigo. Eles são Export.reg e não export.reg.

Em um computador que esteja executando o Windows NT 4.0 Service Pack 6 com Rasbase.dll exportáveis e arquivos Schannel. dll, executados o Export.reg para certificar-se de que apenas o TLS 1.0 FIPS cipher suites são usados pelo computador.

Em um computador que esteja executando o Windows NT 4.0 Service Pack 6 que inclui Rasenh.dll não exportável e arquivos Schannel. dll, executados Non-export.reg para certificar-se de que apenas o TLS 1.0 FIPS cipher suites são usados pelo computador.

Para o arquivo Schannel. dll reconhecer qualquer alteração na chave de registro SCHANNEL, reinicie o computador.

Para retornar as configurações do registro para o padrão, exclua a chave de registro SCHANNEL e tudo sob ele. Se essas chaves do registro não estiverem presentes, o Schannel recria as chaves quando você reiniciar o computador.
Para versões posteriores do Windows
As chaves do registro e seu conteúdo no Windows Server 2008, Windows 7 e Windows Server 2008 R2 parecem diferentes das chaves do registro no Windows Server 2003 e versões anteriores. O local do registro no Windows 7, Windows Server 2008 e Windows Server R2 de 20008 e conteúdo padrão são as seguintes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Esse conteúdo é exibido no formato de exportação padrão do REGEDIT.

Observações:
  • A chave de codificações deve não contêm valores ou subchaves.
  • A chave de conjuntos de codificação deve não contêm valores ou subchaves.
  • A chave de hash deve não contêm valores ou subchaves.
  • A chave KeyExchangeAlgorithms deve não contêm valores ou subchaves.
  • A chave de protocolos deve conter o seguinte valor e subchaves:
    • Protocolos
      • SSL 2.0
        • Cliente
          • DisabledByDefault REG_DWORD 0x00000001 (valor)
Windows Server 2008 suporta os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 e Windows 7 suportam os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Esses protocolos podem ser desabilitados para a arquitetura de cliente ou servidor. Isso significa que o protocolo pode ser omitido ou desabilitado da seguinte maneira:
  • O protocolo pode ser omitido da lista de protocolos suportados que estão incluídos do cliente Hello quando uma conexão SSL é iniciada.
  • O protocolo pode ser desativado no servidor para que o servidor não responderá usando esse protocolo, mesmo que um cliente solicite o SSL 2.0.
As subchaves de cliente e servidor designar cada protocolo. Você pode desativar um protocolo para o cliente ou o servidor. No entanto, a desativação codificações, Hashes ou conjuntos de codificação afeta lados do cliente e o servidor. Você teria que criar as subchaves necessárias sob a chave de protocolos para esse fim. Por exemplo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Após as subchaves são criadas, o registro é exibido da seguinte maneira:



Por padrão, o cliente SSL 2.0 está desabilitado no Windows Server 2008, Windows Server 2008 R2 e Windows 7. Isso significa que o computador não usar SSL 2.0 para iniciar um cliente Hello. Portanto, o registro será exibido da seguinte maneira:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Exatamente como codificações e KeyExchangeAlgorithms, os protocolos podem ser ativados ou desativados. Para ativar ou desativar um protocolo, como SSL 2.0, defina os seguintes valores no registro do sistema no cliente e no servidor.

Observação: Para habilitar ou desabilitar o SSL 2.0, você deve ativar ou desativá-lo no computador cliente e o computador servidor.

O local de registro para SSL 2.0 no computador cliente é a seguinte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

O local de registro para SSL 2.0 no computador do servidor é a seguinte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Para habilitar o SSL 2.0, execute essas etapas:
  1. No computador cliente, defina o valor DisabledByDefault DWORD como 00000000.
  2. No computador servidor, defina o valor DWORD habilitado como 0xffffffff.
  3. Reinicie o computador.
Para desabilitar o SSL 2.0, execute essas etapas:
  • No computador cliente, defina o valor DisabledByDefault DWORD como 00000001.
  • No computador servidor, defina o valor DWORD habilitado para 00000000.
  • Reinicie o computador.

Observações:
  • Usando o Enabled = 0x0 configuração do registro desativa o protocolo. Essa configuração não pode ser substituída e habilitada na estrutura grbitEnabledProtocols .
  • Usando a configuração do registro DisabledByDefault apenas impede que esse protocolo emitindo o comando Hello sobre esse protocolo, quando uma conexão SSL com o servidor é iniciada. Essa configuração pode ser substituída e, portanto, usada se ela estiver incluída na estrutura de grbitEnabledProtocols .
  • Para impedir que um protocolo está sendo usado, use o Enabled = 0x0 configuração.
SP6

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 245030 - Última Revisão: 01/14/2016 17:15:00 - Revisão: 11.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtpt
Comentários
html>