Como restringir a utilização de determinados algoritmos criptográficos e os protocolos do Schannel. dll

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de Abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 245030
Sumário
Este artigo descreve como restringir a utilização de determinados algoritmos criptográficos e protocolos do ficheiro Schannel. dll. Estas informações também se aplica a aplicações de fornecedor (ISV) independentes de software que são escritas para o Microsoft CAPI (Cryptographic API).

Nota Para chaves de registo que se aplicam ao Windows Server 2008 e versões posteriores do Windows, consulte a secção "para versões posteriores do Windows".
Mais Informação
Os seguintes fornecedores de serviços criptográficos (CSPs) que estão incluídos no Windows NT 4.0 Service Pack 6 foram emitidos os certificados para Validação de criptografia FIPS-140-1:
  • Microsoft Base Cryptographic Provider (Rsabase. dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh. dll) (versão de não-export)
Microsoft TLS/SSL Security Provider, o ficheiro Schannel. dll, utiliza os CSPs que estão listados aqui a conduta comunicações seguras através de SSL ou TLS no respectivo suporte para o Internet Explorer e serviços de informação Internet (IIS).

Pode alterar o ficheiro Schannel. dll para suportar o conjunto de cifras 1 e 2. No entanto, o programa também tem de suportar o conjunto de cifras 1 e 2. Conjunto de cifras 1 e 2 não são suportadas no IIS 4.0 e 5.0.

Este artigo contém as informações necessárias para configurar o TLS/SSL Security Provider para Windows NT 4.0 Service Pack 6 e versões posteriores. Pode utilizar o registo do Windows para controlar a utilização dos conjuntos específicos de cifras de SSL 3.0 ou TLS 1.0 no que respeita os algoritmos criptográficos que são suportados pelo fornecedor de criptografia de Base ou o Enhanced Cryptographic Provider.

Nota No Windows NT 4.0 Service Pack 6, o ficheiro Schannel. dll não utiliza o Microsoft Base DSS Cryptographic Provider (Dssbase) ou o Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh. dll).

Conjuntos de cifras

Ambos os SSL 3.0 (http://www.Mozilla.org/Projects/Security/PKI/nss/SSL/draft302.txt) e TLS 1.0 (RFC2246) com o rascunho da INTERNET "56 bits conjuntos de cifras de exportação para draft-ietf-tls-56-bit-ciphersuites-00.txt TLS" fornecem opções a utilizar conjuntos de cifras diferentes. Cada conjunto de cifras determina a troca de chaves, autenticação, encriptação e algoritmos de MAC que são utilizados numa sessão de SSL/TLS. Repare que quando utiliza o RSA como algoritmos de autenticação e troca de chaves, o termo RSA é apresentada apenas uma vez nas definições de suite de encriptação correspondente.

O Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider suporta o seguinte definido pelo SSL 3.0 "CipherSuite" quando utiliza o fornecedor de criptografia Base ou o fornecedor de criptografia avançada:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota Não SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA nem SSL_RSA_EXPORT1024_WITH_RC4_56_SHA está definido no texto do SSL 3.0. Contudo, vários fornecedores de SSL 3.0 suportam-los. Isto inclui Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider também suporta a seguinte definição TLS 1.0 "CipherSuite" quando utiliza o fornecedor de criptografia Base ou Enhanced Cryptographic Provider:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Nota Um conjunto de cifras é definido utilizando o primeiro byte "0x00" é não privados e é utilizado para comunicações interoperáveis abertas. Por conseguinte, o Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider segue os procedimentos para utilizar estes conjuntos de cifras tal como especificado no SSL 3.0 e o TLS 1.0 para se certificar da interoperabilidade.

Chaves de registo específicas de Schannel

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
Nota Quaisquer alterações ao conteúdo das teclas de CIFRAS ou HASHES têm efeito imediato, sem reiniciar o sistema.

Chave SCHANNEL

Inicie o Editor de registo (Regedt32.exe) e, em seguida, localize a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Subchave SCHANNEL\Protocols

Para activar o sistema para utilizar os protocolos que não serão negociados por predefinição (como TLS 1.1 e TLS 1.2), altere os dados do valor DWORD do valor DisabledByDefault para 0x0 nas seguintes chaves do registo na chave de protocolos:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Aviso O valor de DisabledByDefault nas chaves de registo na chave de protocolos não têm precedência sobre o valor de grbitEnabledProtocols que está definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial de Schannel.

Subchave SCHANNEL\Ciphers

A chave de registo de cifras sob a chave SCHANNEL é utilizada para controlar a utilização de algoritmos simétricos como DES e RC4. Seguem-se as chaves de registo válido na chave de cifras.
Subchave SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Esta subchave refere-se RC4 a 128 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Ou, alterar os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado. Esta chave de registo não é aplicável a um servidor exportável que não tem um certificado do SGC.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Triplo DES 168

Esta chave de registo refere-se a 168 bits Triple DES tal como especificado no X9.52 de ANSI e rascunho FIPS 46-3. Esta chave de registo não é aplicável para a versão de exportação.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Ou, alterar os dados DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Nota Para as versões do Windows disponibilizada antes do Windows Vista, a chave deve ser Triple DES 168/168.
Subchave SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Esta chave de registo refere-se RC2 de 128 bits. Não é aplicável para a versão de exportação.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Subchave SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Esta chave de registo refere-se RC4 de 64 bits. Não é aplicável para a versão de exportação (mas é utilizado no Microsoft Money).

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Subchave SCHANNEL\Ciphers\RC4 56/128
RC4 56/128

Esta chave de registo refere-se RC4 de 56 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Subchave SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Esta chave de registo refere-se RC2 de 56 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Subchave SCHANNEL\Ciphers\RC2 56/56

DES DE 56

Esta chave de registo refere-se como DES de 56 bits tal como especificado no FIPS 46-2. Sua aplicação nos ficheiros Rsabase. dll e Rsaenh. dll é validada em que o programa de validação de módulo criptográfico do FIPS 140-1.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Subchave de SCHANNEL\Ciphers\RC4. o 40/128

RC4 40/128

Refere-se RC4 a 40 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Subchave de SCHANNEL\Ciphers\RC2. o 40/128

RC2 40/128

Esta chave de registo refere-se RC2 de 40 bits.

Para permitir que este algoritmo de encriptação, alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0. Se não configurar o valor de activado, a predefinição é activado.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Ciphers\NULL

NULL

Esta chave de registo significa sem encriptação. Por predefinição, este está desactivado.

Para desactivar a encriptação (todos os algoritmos de encriptação não permitir), alterar os dados do valor DWORD do valor activado a 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Subchave SCHANNEL/Hashes

A chave de registo de valores hash da chave de SCHANNEL é utilizada para controlar a utilização de algoritmos hash como SHA-1 e MD5. Seguem-se as chaves de registo válido na chave de Hashes.

Subchave SCHANNEL\Hashes\MD5

MD5

Para permitir que este algoritmo hashing, alterar os dados do valor DWORD do valor activado para o valor predefinido 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Subchave SCHANNEL\Hashes\SHA

SHA

Esta chave de registo refere-se para o algoritmo Hash seguro (SHA-1), tal como especificado no FIPS 180-1. Sua aplicação nos ficheiros Rsabase. dll e Rsaenh. dll é validada em que o programa de validação de módulo criptográfico do FIPS 140-1.

Para permitir que este algoritmo hashing, alterar os dados do valor DWORD do valor activado para o valor predefinido 0xFFFFFFFF. Caso contrário, altere os dados do valor DWORD para 0x0.

Desactivar este algoritmo efectivamente não permite o seguinte:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subchave SCHANNEL/KeyExchangeAlgorithms

A chave de registo KeyExchangeAlgorithms na chave de SCHANNEL é utilizada para controlar a utilização de algoritmos de troca de chaves, tal como RSA. Seguem-se as chaves de registo válido na chave KeyExchangeAlgorithms.

Subchave SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Esta chave de registo refere-se o RSA como algoritmos de troca e autenticação de chave.

Para permitir RSA, altere os dados do valor DWORD do valor activado para o valor predefinido 0xFFFFFFFF. Caso contrário, altere os dados DWORD 0x0.

Desactivar efectivamente RSA não permite a todos os baseados em RSA SSL e TLS conjuntos de cifras suportados pelo Windows NT4 SP6 Microsoft TLS/SSL Security Provider.

FIPS 140-1 cipher suites

Poderá pretender utilizar apenas esses SSL 3.0 ou TLS 1.0 conjuntos de cifras que correspondem ao FIPS 46-3 ou FIPS 46-2 e algoritmos de 180-1 FIPS fornecidos pelo Microsoft Base Enhanced Cryptographic Provider.

Neste artigo, designamos por eles FIPS 140-1 cipher suites. Especificamente, são os seguintes:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Para utilizar apenas o FIPS 140-1 cifra conjuntos definidos aqui e suportada pelo Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider com o fornecedor de criptografia Base ou o Enhanced Cryptographic Provider, configurar os dados do valor DWORD do valor activado nas seguintes chaves do registo para 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • 64/128 de SCHANNEL\Ciphers\RC4
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4. o 40/128
  • SCHANNEL\Ciphers\RC2. o 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
E configurar os dados do valor DWORD do valor activado nas seguintes chaves do registo para 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[não aplicável na exportação versão]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Cálculo de segredo mestre utilizando FIPS 140-1 cipher suites

Os procedimentos para utilizar a cifra de 140-1 FIPS conjuntos SSL 3.0 diferem os procedimentos para utilizar os conjuntos de cifras de 140-1 FIPS TLS 1.0.

No SSL 3.0, segue-se o cálculo de master_secret definição:

TLS 1.0, segue-se o cálculo de master_secret definição:

no caso de:

Seleccionar a opção para utilizar apenas o FIPS 140-1 cifra conjuntos TLS 1.0:

Devido a esta diferença, os clientes poderão pretender proibir a utilização do SSL 3.0, mesmo que o conjunto permitido de conjuntos de cifras está limitado a apenas o subconjunto de FIPS 140-1 cipher suites. Nesse caso, alterar os dados do valor DWORD do valor activado a 0x0 nas seguintes chaves do registo na chave de protocolos:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Aviso Os dados do valor activado destas chaves de registo na chave de protocolos tem precedência sobre o valor de grbitEnabledProtocols que está definido na estrutura SCHANNEL_CRED que contém os dados para uma credencial de Schannel. Os dados de valor predefinido activado 0xFFFFFFFF.

Ficheiros de registo de exemplo

Dois exemplos de conteúdo do ficheiro de registo de configuração são fornecidos nesta secção deste artigo. São Export.reg e não export.reg.

Num computador que esteja a executar Windows NT 4.0 Service Pack 6 com o Rasbase.dll exportável e ficheiros Schannel. dll, executados Export.reg para se certificar de que apenas o TLS 1.0 FIPS cipher suites são utilizados pelo computador.

Num computador que esteja a executar o Windows NT 4.0 Service Pack 6 que inclua o Rasenh.dll não é possível exportar e ficheiros Schannel. dll, executados não-export.reg para se certificar de que apenas o TLS 1.0 FIPS cipher suites são utilizados pelo computador.

Para o ficheiro Schannel. dll reconhecer as alterações na chave de registo SCHANNEL, tem de reiniciar o computador.

Para repor as definições de registo predefinido, elimine a chave de registo SCHANNEL e tudo no mesmo. Se não existirem estas chaves de registo, o Schannel. dll reconstrói as chaves quando reiniciar o computador.
Para versões posteriores do Windows
As chaves de registo e respectivo conteúdo no Windows Server 2008, Windows 7 e Windows Server 2008 R2 parecer diferentes chaves de registo no Windows Server 2003 e versões anteriores. A localização de registo no Windows 7, Windows Server 2008 e Windows Server 20008 R2 e conteúdos predefinidos são os seguintes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

Este conteúdo é apresentado no formato de exportação padrão do REGEDIT.

Notas
  • A chave de cifras não deve conter nenhuma valores ou subchaves.
  • A chave de criptografia não deve conter nenhuma valores ou subchaves.
  • A chave de Hashes não deve conter nenhuma valores ou subchaves.
  • A chave de KeyExchangeAlgorithms não deve conter nenhuma valores ou subchaves.
  • A chave de protocolos deverá conter as seguintes subchaves e valor:
    • Protocolos
      • SSL 2.0
        • Cliente
          • DisabledByDefault REG_DWORD 0x00000001 (valor)
Windows Server 2008 suporta os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 e Windows 7 suporta os seguintes protocolos:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Estes protocolos podem ser desactivados para o servidor ou a arquitectura de cliente. Isto significa que o protocolo pode ser omitido ou desactivado da seguinte forma:
  • O protocolo pode ser omitido da lista de protocolos suportados que estão incluídos no cliente ' Hello ' quando é iniciada uma ligação SSL.
  • O protocolo pode ser desactivado no servidor para que o servidor não irá responder utilizando esse protocolo, mesmo que um cliente pede SSL 2.0.
As subchaves de cliente e servidor designar cada protocolo. Pode desactivar um protocolo para o cliente ou servidor. No entanto, a desactivação de cifras, Hashes ou criptografia afecta os lados do cliente e servidor. Tem de criar as subchaves necessárias dentro da chave de protocolos para alcançar este objectivo. Por exemplo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Depois de criadas, as subchaves de registo é apresentado da seguinte forma:



Por predefinição, o cliente SSL 2.0 está desactivado no Windows Server 2008, Windows Server 2008 R2 e Windows 7. Isto significa que o computador não irá utilizar SSL 2.0 para iniciar um cliente Olá. Por conseguinte, o registo é apresentado da seguinte forma:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
Exactamente como as codificações e KeyExchangeAlgorithms, os protocolos podem ser activados ou desactivados. Para activar ou desactivar um protocolo como o SSL 2.0, defina os seguintes valores no registo do sistema no cliente e o servidor.

Nota Para activar ou desactivar o SSL 2.0, tem de activar ou desactivá-lo no computador cliente e o computador servidor.

A localização de registo para SSL 2.0 no computador cliente é o seguinte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

A localização de registo para SSL 2.0 no computador servidor é o seguinte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Para activar SSL 2.0, siga estes passos:
  1. No computador cliente, defina o valor de DisabledByDefault DWORD como 00000000.
  2. No computador servidor, defina o valor DWORD activado como 0xffffffff.
  3. Reinicie o computador.
Para desactivar o SSL 2.0, siga estes passos:
  • No computador cliente, defina o valor DWORD de DisabledByDefault para 00000001.
  • No computador servidor, defina o valor DWORD activado para 00000000.
  • Reinicie o computador.

Notas
  • Utilizar o Enabled = 0x0 definição de registo desactiva o protocolo. Esta definição não pode ser substituída e activada na estrutura de grbitEnabledProtocols .
  • Utilizar a definição de registo DisabledByDefault só impede esse protocolo que emite o comando ' Hello ' ao longo do referido protocolo quando é iniciada uma ligação SSL com um servidor. Esta definição pode ser substituída e utilizada, por conseguinte, caso se encontre incluído na estrutura de grbitEnabledProtocols .
  • Para impedir que um protocolo a ser utilizado, utilize o Enabled = 0x0 definição.
SP6

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 245030 - Última Revisão: 01/14/2016 21:11:00 - Revisão: 13.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtpt
Comentários