Ako obmedzenie používania určitých kryptografických algoritmov a protokolov v Schannel.dll

Poskytovanie technickej podpory pre systém Windows XP sa skončilo

8. apríla 2014 ukončila spoločnosť Microsoft poskytovanie technickej podpory pre systém Windows XP. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 245030
Súhrn
Tento článok popisuje obmedzenie používania určitých kryptografických algoritmov a protokolov v súboru. Tieto informácie sa vzťahuje aj na nezávislý dodávateľ softvéru aplikácií, vytvorených pre Microsoft kryptografických API (CAPI).

Poznámka: Kľúče databázy registry, ktoré sa vzťahujú na systém Windows Server 2008 a novšie verzie systému Windows, nájdete v časti "pre novšie verzie systému Windows".
Ďalšie informácie
Nasledujúci poskytovatelia kryptografických služieb (SDK), ktoré sú súčasťou systému Windows NT 4.0 Service Pack 6 boli udelené certifikáty Kryptografická overenia FIPS-140-1:
  • Kryptografické poskytovateľa Microsoft Base (Rsabase.dll)
  • Enhanced kryptografické poskytovateľa Microsoft (Rsaenh.dll) (-export version)
Súboru, TLS/SSL zabezpečenia poskytovateľa Microsoft používa SDK, ktoré sú tu uvedené vykonávať zabezpečenú komunikáciu prostredníctvom protokolu SSL alebo TLS podporu programu Internet Explorer a Internet Information Services (IIS).

Zmenou súboru na podporu šifrovacia 1 a 2. Program musí tiež podpora šifrovacia 1 a 2. Šifrovacia 1 a 2 nie sú podporované v službe IIS 4.0 a 5.0.

Tento článok obsahuje informácie potrebné na konfiguráciu TLS/SSL Security Provider pre systém Windows NT 4.0 Service Pack 6 a novšie verzie. Databázy registry systému Windows môžete použiť na kontrolu používania osobitných SSL 3.0 alebo TLS 1.0 šifrovacia s ohľadom na kryptografických algoritmov, ktoré podporuje poskytovateľ kryptografických Base alebo Enhanced kryptografické poskytovateľa.

Poznámka: V systéme Windows NT 4.0 Service Pack 6, súboru nepoužíva Base DSS kryptografické poskytovateľa Microsoft (Dssbase.dll) alebo DS, Diffie-Hellman Enhanced kryptografické poskytovateľa Microsoft (Dssenh.dll).

Šifrovacia

Obe SSL 3.0 (http://www.mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt) a možnosti používať rôzne šifrovacia TLS 1.0 (RFC2246) INTERNET-návrhu "56-bitové Export šifrovacia pre TLS draft-ietf-tls-56-bit-ciphersuites-00.txt". Každý šifrovacia určuje výmeny kľúčov, overenia, šifrovania a MAC algoritmov, ktoré sú používané v relácii SSL/TLS. Upozorňujeme, že pri použití RSA ako výmeny kľúčov a overenie algoritmov, termín RSA sa zobrazí len raz príslušné definície balík šifrovania.

Windows NT 4.0 Pack 6 Microsoft TLS/SSL zabezpečenia poskytovateľa podporuje nasledujúce SSL 3.0 definované "CipherSuite" pri použití poskytovateľ kryptografických Base alebo Enhanced kryptografické poskytovateľa:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Poznámka: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ani SSL_RSA_EXPORT1024_WITH_RC4_56_SHA je definovaný v texte SSL 3.0. Však niekoľko SSL 3.0 dodávatelia ich podporu. Patria spoločnosti Microsoft.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider podporuje nasledujúce definované TLS 1.0 "CipherSuite" pri používaní kryptografické poskytovateľ Base alebo Enhanced kryptografické poskytovateľa:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Poznámka: Šifrovacia, ktorý je definovaný pomocou prvý bajt "0x00" je verejným a slúži na otvorenie interoperabilitu komunikácie. Windows NT 4.0 Pack 6 Microsoft TLS/SSL zabezpečenia poskytovateľa vyplýva postupov pomocou týchto šifrovacia uvedené v SSL 3.0 alebo TLS 1.0 uistite sa, že interoperabilita.

Zabezpečený kanál špecifické kľúče

Dôležité upozornenie: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany zálohujte databázu Registry pred úpravou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows
Poznámka: Zmeny obsahu ŠIFIER alebo hash prejavia okamžite bez reštartovanie systému.

Zabezpečený kanál kľúč

Spustite Editor databázy Registry (Regedt32.exe), a potom vyhľadajte nasledujúci kľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Podkľúč SCHANNEL\Protocols

Povoliť systém protokolov, ktoré nie dohodne sa na základe predvoleného nastavenia (napríklad TLS 1.1 a TLS 1.2), zmeňte údaj hodnoty DWORD hodnotu DisabledByDefault na 0x0 nasledujúcich kľúčov databázy registry pod kľúčom protokoly:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Upozornenie: DisabledByDefault hodnoty kľúčov databázy registry pod kľúčom protokoly prednosť grbitEnabledProtocols hodnotu, ktorá je definovaná v SCHANNEL_CRED štruktúra, ktorá obsahuje údaje na zabezpečený kanál poverení.

Podkľúč SCHANNEL\Ciphers

Šifry databázy Registry pod kľúčom zabezpečený kanál sa používa na ovládanie symetrického algoritmov ako DES a RC4. Nižšie sú platné kľúče databázy registry pod kľúčom šifier.
Podkľúč SCHANNEL\Ciphers\RC4 128/128
RC4 128/128

Tento podkľúč sa vzťahuje na 128-bitové RC4.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. Zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený. Tento kľúč databázy registry exportovať server, ktorý nie je nainštalovaný certifikát SGC nevzťahuje.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Double DES 168

Tento kľúč databázy registry odkazuje na 168-bitový Double DES podľa ANSI X9.52 a FIPS konceptu 46-3. Tento kľúč databázy registry sa nevzťahuje na vývoz verziu.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. Zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Poznámka: Pre verzie systému Windows, ktoré vydáva pred Windows Vista kľúč by mal byť Double DES 168/168.
Podkľúč SCHANNEL\Ciphers\RC2 128/128
RC2 128/128

Tento kľúč databázy registry odkazuje na 128-bitové RC2. Nevzťahuje sa na vývoz verziu.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Podkľúč SCHANNEL\Ciphers\RC4 64/128
RC4 64/128

Tento kľúč databázy registry odkazuje na 64-bit RC4. To sa nevzťahuje na vývoz verziu (ale sa používa v programe Microsoft Money).

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Podkľúč SCHANNEL\Ciphers\RC4 56/128
RC4 56/128

Tento kľúč databázy registry odkazuje na 56-bitové RC4.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Podkľúč SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Tento kľúč databázy registry odkazuje na 56-bitové RC2.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Podkľúč SCHANNEL\Ciphers\RC2 56/56

DES 56

Tento kľúč databázy registry odkazuje na 56-bitové DES podľa FIPS 46-2. Júna Rsabase.dll a Rsaenh.dll súbory overení podľa FIPS 140-1 kryptografický modul overenia programu.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
Podkľúč SCHANNEL\Ciphers\RC4 40/128

RC4 40/128

Ide o 40-bitové RC4.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
Podkľúč SCHANNEL\Ciphers\RC2 40/128

RC2 40/128

Tento kľúč databázy registry odkazuje na 40-bitové RC2.

Povoliť tento algoritmus šifrovania, zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0. Ak NENAKONFIGURUJETE zapnuté hodnota, predvolená je povolený.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Podkľúč SCHANNEL\Ciphers\NULL

NULL

Tento kľúč databázy registry je šifrovanie. Predvolene je vypnutý.

Ak chcete vypnúť šifrovanie (zakázať všetky šifrovanie algoritmov), zmeňte údaj hodnoty DWORD zapnuté hodnota 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0.

Zabezpečený kanál/hash podkľúč

Hash kľúč databázy registry pod kľúčom zabezpečený kanál sa používa na ovládanie hash algoritmov ako SHA-1 a MD5. Nižšie sú platné kľúče databázy registry podľa hash kľúč.

Podkľúč SCHANNEL\Hashes\MD5

MD5

Povoliť tento hashovací algoritmus, zmeňte údaj hodnoty DWORD zapnuté hodnota na predvolenú hodnotu 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Podkľúč SCHANNEL\Hashes\SHA

SHA

Tento kľúč databázy registry odkazuje na bezpečné algoritmu (SHA-1), podľa FIPS 180-1. Júna Rsabase.dll a Rsaenh.dll súbory overení podľa FIPS 140-1 kryptografický modul overenia programu.

Povoliť tento hashovací algoritmus, zmeňte údaj hodnoty DWORD zapnuté hodnota na predvolenú hodnotu 0xFFFFFFFF. V opačnom prípade zmeniť údaje hodnoty DWORD 0x0.

Vypnutie tohto algoritmu účinne nepovoľuje nasledujúce:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Podkľúč zabezpečený kanál/KeyExchangeAlgorithms

KeyExchangeAlgorithms databázy Registry pod kľúčom zabezpečený kanál sa používa na kontrolu výmeny algoritmov ako RSA. Nižšie sú platné kľúče databázy registry pod kľúčom KeyExchangeAlgorithms.

Podkľúč SCHANNEL\KeyExchangeAlgorithms\PKCS
PKCS

Tento kľúč databázy registry odkazuje na RSA ako kľúč servera exchange a overovanie algoritmov.

Povoliť RSA, zmeňte údaj hodnoty DWORD zapnuté hodnota na predvolenú hodnotu 0xFFFFFFFF. Inak meniť údaje DWORD 0x0.

Vypnutie RSA účinne znemožní všetky založené na RSA SSL a TLS šifrovacia podporované Windows NT4 SP6 Microsoft TLS/SSL Security Provider.

FIPS 140-1 šifrovacia

Ak chcete použiť len tie SSL 3.0 alebo TLS 1.0 šifrovacia zodpovedajúce FIPS 46 3 a 46 2 FIPS algoritmov FIPS 180 1 Microsoft Base alebo Enhanced kryptografické poskytovateľa.

V tomto článku odporúčame na ne odkazovať ako FIPS 140-1 šifrovacia. Konkrétne sú nasledovné:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Používať len FIPS 140-1 šifrovacia definované tu a podporované Windows NT 4.0 Pack 6 Microsoft TLS/SSL zabezpečenia poskytovateľa poskytovateľ kryptografických Base alebo Enhanced kryptografické poskytovateľa, konfigurovať údaj hodnoty DWORD zapnuté hodnota v nasledujúcich kľúčov databázy registry 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
A konfigurácia údaj hodnoty DWORD zapnuté hodnota v nasledujúcich kľúčov databázy registry 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[nevzťahuje exportu verzia]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Hlavný tajný výpočet pomocou FIPS 140-1 šifrovacia

Postup na používanie šifrovania FIPS 140-1, balíkov SSL 3.0 líšiť od postupu pomocou FIPS 140-1 šifrovacia v TLS 1.0.

V SSL 3.0 je výpočet master_secret definície:

V TLS 1.0 je výpočet master_secret definície:

Ak:

Vyberte možnosť používať len FIPS 140-1 šifrovacia v TLS 1.0:

Preto tento rozdiel zákazníkov môžete zakázať protokol SSL 3.0, hoci povolené súbor šifrovacia obmedzené len na podmnožinu FIPS 140-1 šifrovacia. V takom prípade zmeňte údaj hodnoty DWORD zapnuté hodnota 0x0 v nasledujúcich kľúčoch databázy registry pod kľúčom protokoly:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Upozornenie: Údaj hodnoty povolené v nasledujúcich kľúčoch databázy registry pod kľúčom protokoly prednosť grbitEnabledProtocols hodnotu, ktorá je definovaná v SCHANNEL_CRED štruktúra, ktorá obsahuje údaje na zabezpečený kanál poverení. Predvolené zapnuté hodnota údajov 0xFFFFFFFF.

Napríklad súbory databázy registry

V tomto článku sú k dispozícii dva príklady obsah súborov databázy registry na konfiguráciu. Sú Export.reg a bez export.reg.

V počítači so systémom Windows NT 4.0 Service Pack 6 s exportovať Rasbase.dll a Schannel.dll súbory, spustite Export.reg, aby ste sa uistili, že len TLS 1.0 FIPS cipher balíky používajú počítač.

V počítači so systémom Windows NT 4.0 Service Pack 6, ktorá obsahuje nie je možné exportovať Rasenh.dll a Schannel.dll súbory, spustite Non-export.reg uistite sa, že len TLS 1.0 FIPS cipher balíky používajú počítač.

Pre súboru rozpoznať žiadne zmeny v kľúči databázy registry zabezpečený kanál, je potrebné reštartovať počítač.

Obnoviť predvolené nastavenia databázy registry, odstrániť kľúč databázy registry zabezpečený kanál a všetko pod ním. Ak tieto kľúče nie sú prítomné, Schannel.dll vytvorí kľúče, reštartujte počítač.
V novších verziách systému Windows
Kľúče databázy registry a ich obsahu v systéme Windows Server 2008, Windows 7 a Windows Server 2008 R2 odlišné od kľúče databázy registry v systéme Windows Server 2003 a staršie verzie. Umiestnenie databázy registry v systéme Windows 7, Windows Server 2008 a Windows Server 20008 R2 a predvolený obsah sú nasledovné:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Tento obsah je zobrazený v štandardnom formáte REGEDIT exportu.

Poznámky
  • Šifry kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • Šifrovacie množiny kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • Hash kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • KeyExchangeAlgorithms kľúč by mal obsahovať žiadne hodnoty alebo podkľúče.
  • Protokoly kľúč by mal obsahovať nasledujúce podkľúče a hodnoty:
    • Protokoly
      • PROTOKOL SSL 2.0
        • Klient
          • DisabledByDefault REG_DWORD 0x00000001 (hodnota)
Windows Server 2008 podporuje nasledovné protokoly:
  • PROTOKOL SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 a Windows 7 podporuje nasledovné protokoly:
  • PROTOKOL SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • 1.2 TLS
Tieto protokoly možno vypnúť servera alebo klienta architektúry. To znamená, že protokol môžete vynechať alebo zakázaný takto:
  • Protokol môžete vynechať zo zoznamu podporovaných protokolov, ktoré sú súčasťou klienta Hello pri pripojenia SSL.
  • Protokol možno vypnúť na serveri tak, že server nezodpovedá pomocou protokolu aj v prípade, že klient vyžaduje SSL 2.0.
Klient a server podkľúče určite každého protokolu. Môžete zakázať protokol klienta alebo servera. Však vypnúť šifry, hash alebo šifrovacie množiny ovplyvňuje klient aj server strany. Budete musieť vytvoriť potrebné podkľúče pod kľúčom na dosiahnutie protokolov. Napríklad:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Po vytvorení podkľúčov databázy registry sa zobrazí nasledovne:



V predvolenom nastavení klienta SSL 2.0 je vypnutá v systéme Windows Server 2008, Windows Server 2008 R2 a Windows 7. To znamená, že počítač používať protokol SSL 2.0 spustenie klienta Dobrý deň. Preto databázy registry sa zobrazí nasledovne:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Rovnako ako šifry a KeyExchangeAlgorithms protokolov, môžete povoliť alebo zakázať. Ak chcete povoliť alebo zakázať protokol, napríklad SSL 2.0, nastavte nasledujúce hodnoty v databáze registry na klienta a servera.

Poznámka: Zapnutie alebo vypnutie protokolu SSL 2.0, musíte povoliť alebo zakázať na klientskom počítači aj na serveri.

Umiestnenie SSL 2.0 databázy registry v klientskom počítači sa takto:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Umiestnenie databázy registry pre SSL 2.0 na serveri je nasledovné:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Ak chcete povoliť protokol SSL 2.0, postupujte nasledovne:
  1. Na klientskom počítači, nastavte hodnotu DWORD DisabledByDefault k 00000000.
  2. Na serveri, nastavte hodnotu DWORD zapnuté na 0xffffffff.
  3. Reštartujte počítač.
Vypnutie protokolu SSL 2.0, postupujte nasledovne:
  • Na klientskom počítači, nastavte hodnotu DWORD DisabledByDefault na 00000001.
  • Na serveri, nastavte hodnotu DWORD zapnuté na 00000000.
  • Reštartujte počítač.

Poznámky
  • Pomocou Enabled = 0x0 nastavenie databázy registry zakáže protokol. Toto nastavenie sa nedá prepísať a v štruktúre grbitEnabledProtocols .
  • Pomocou nastavenia databázy registry DisabledByDefault iba zabraňuje protokolu vydanie Hello príkaz prostredníctvom protokolu, keď začne SSL spojenie so serverom. Toto nastavenie môžete prepísať a preto použiť, ak je zahrnutá v štruktúre grbitEnabledProtocols .
  • Zabráni protokol, použite Enabled = 0x0 nastavenie.
SP6

Upozornenie: Tento článok bol preložený automaticky.

Свойства

Номер статьи: 245030 — последний просмотр: 01/14/2016 21:12:00 — редакция: 9.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtsk
Отзывы и предложения