การปรับปรุงเพื่อเพิ่มการสนับสนุนสำหรับ TLS 1.1 และ TLS 1.2 ใน Windows 7 การกระชับข้อมูลฝังตัว

บทนำ

บทความนี้อธิบายถึงการปรับปรุงเพื่อเพิ่มการสนับสนุนสำหรับการขนส่งเลเยอร์ความปลอดภัย (TLS) 1.1 และ TLS 1.2 ใน Windows 7 การกระชับข้อมูลฝังตัว

ก่อนที่คุณติดตั้งโปรแกรมปรับปรุงนี้ โปรแกรมปรับปรุงที่ออกใช้ก่อนหน้านี้ทั้งหมดสำหรับผลิตภัณฑ์นี้ต้องถูกติดตั้ง

สรุป

เปิดใช้งาน TLS 1.1 และ TLS 1.2

โดยค่าเริ่มต้นTLS 1.1 และ TLS 1.2 เปิดใช้งานโดยอุปกรณ์ที่ใช้ Windows 7 การกระชับข้อมูลฝังตัวถูกกำหนดค่าเป็นไคลเอนต์ โดยใช้การตั้งค่าเบราว์เซอร์ โพรโทคอลที่ถูกปิดใช้งานเมื่อ Windows แบบฝังตัวกระชับ 7-ยึดอุปกรณ์ถูกกำหนดค่าเป็นเว็บเซิร์ฟเวอร์

คุณสามารถใช้รีจิสทรีคีย์ต่อไปนี้เพื่อเปิดใช้งาน หรือปิดใช้งาน TLS 1.1 และ TLS 1.2

TLS 1.1

คีย์ย่อยต่อไปนี้ควบคุมการใช้ TLS 1.1:

HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

เมื่อต้องการปิดใช้งานโพรโทคอล TLS 1.1 คุณต้องสร้างรายการEnabled DWORD ในคีย์ย่อยที่เหมาะสม และจากนั้น เปลี่ยนค่า DWORD เป็น0 เมื่อต้องการเปิดใช้งานโพรโทคอล เปลี่ยนค่า DWORD เป็น1 โดยค่าเริ่มต้น รายการนี้ไม่มีอยู่ในรีจิสทรี

หมายเหตุ เมื่อต้องการเปิดใช้งาน และเจรจา TLS 1.1 คุณต้องสร้างรายการDisabledByDefault DWORD ในคีย์ย่อยที่เหมาะสม (ไคลเอ็นต์ เซิร์ฟเวอร์), และจากนั้น เปลี่ยนค่า DWORD เป็น0

TLS 1.2

คีย์ย่อยต่อไปนี้ควบคุมการใช้ TLS 1.2:

HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

เมื่อต้องการปิดใช้งานโพรโทคอล TLS 1.2 คุณต้องสร้างรายการEnabled DWORD ในคีย์ย่อยที่เหมาะสม และจากนั้น เปลี่ยนค่า DWORD เป็น0 เมื่อต้องการเปิดใช้งานโพรโทคอล เปลี่ยนค่า DWORD เป็น1 โดยค่าเริ่มต้น รายการนี้ไม่มีอยู่ในรีจิสทรี

หมายเหตุ เมื่อต้องการเปิดใช้งาน และเจรจา TLS 1.2 คุณต้องสร้างรายการDisabledByDefault DWORD ในคีย์ย่อยที่เหมาะสม (ไคลเอ็นต์ เซิร์ฟเวอร์), และจากนั้น เปลี่ยนค่า DWORD เป็น0

หมายเหตุเพิ่มเติม

ค่าDisabledByDefaultในรีจิสทรีคีย์ภายใต้คีย์โปรโตคอลจะมีบทบาทเหนือค่าgrbitEnabledProtocolsที่กำหนดไว้ในโครงสร้าง SCHANNEL_CRED ที่ประกอบด้วยข้อมูลสำหรับข้อมูลประจำตัว Schannel
ต่อ ร้องขอสำหรับข้อคิดเห็น (RFC), ออกแบบงานไม่อนุญาตให้ SSL2 และ TLS 1.2 เพื่อเปิดใช้งานในเวลาเดียวกัน

ข้อมูลเพิ่มเติม

โปรดอ่านส่วนต่อไปนี้เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับ TLS 1.1 และ 1.2

ชุดการเข้ารหัสที่สนับสนุน TLS 1.2 เท่านั้น

ชุดโปรแกรม cipher ที่เพิ่งเพิ่มเข้าไปดังต่อไปนี้ได้รับการสนับสนุน โดย TLS 1.2 เท่านั้น:

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)

grbitEnabledProtocols

(ไม่จำเป็น) DWORD นี้ประกอบด้วยบิตสตริงที่แสดงถึงโพรโทคอลที่มีเงื่อนไขต่อไปนี้:

สนับสนุนโดยการเชื่อมต่อที่เกิดขึ้น โดยการให้ข้อมูลประจำตัวที่ได้รับมา โดยใช้โครงสร้างนี้

ตารางต่อไปนี้แสดงค่าสถานะที่เป็นไปได้เพิ่มเติมว่า สมาชิกที่สามารถประกอบด้วย

ค่า	คำอธิบาย
SP_PROT_TLS1_2_CLIENT	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งไคลเอ็นต์
SP_PROT_TLS1_2_SERVER	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งเซิร์ฟเวอร์
SP_PROT_TLS1_1_CLIENT	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งไคลเอ็นต์
SP_PROT_TLS1_1_SERVER	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งเซิร์ฟเวอร์

SecBuffer

BufferType

ชุดของค่าสถานะของบิตนี้บ่งชี้ชนิดของบัฟเฟอร์ ตารางต่อไปนี้แสดงค่าสถานะพร้อมใช้งานเพิ่มเติมสำหรับ TLS 1.2

ค่าสถานะ	คำอธิบาย
SECBUFFER_ALERT	บัฟเฟอร์ประกอบด้วยข้อความแจ้งเตือน

SecPkgContext_ConnectionInfo

dwProtocol

ซึ่งกำหนดโพรโทคอลที่ใช้ในการสร้างการเชื่อมต่อนี้ ตารางต่อไปนี้แสดงค่าคงที่ถูกต้องเพิ่มเติมสำหรับสมาชิกนี้

ค่า	คำอธิบาย
SP_PROT_TLS1_2_CLIENT	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งไคลเอ็นต์
SP_PROT_TLS1_2_SERVER	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งเซิร์ฟเวอร์
SP_PROT_TLS1_1_CLIENT	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งไคลเอ็นต์
SP_PROT_TLS1_1_SERVER	ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งเซิร์ฟเวอร์

aiCipher

นี่คืออัลกอริทึมรหัส (ALG_ID) สำหรับการเข้ารหัสเข้ารหัสลับจำนวนมากที่ใช้ โดยการเชื่อมต่อนี้ ตารางต่อไปนี้แสดงค่าคงที่ถูกต้องเพิ่มเติมสำหรับสมาชิกนี้

ค่า	คำอธิบาย
CALG_AES_256	อัลกอริทึมการเข้ารหัสแบบ 256 บิต AES
CALG_AES_128	อัลกอริทึมการเข้ารหัสลับ 128 บิต AES
CALG_3DES	อัลกอริทึมการเข้ารหัสลับแบบ 3DES

SecPkgContext_SupportedSignatures

โครงสร้าง

ระบุอัลกอริทึมลายเซ็นที่ได้รับการสนับสนุน โดยเชื่อมต่อ Schannel .

ไวยากรณ์ (c ++)

typedef struct _SecPkgContext_SupportedSignatures {

  WORD cSignatureAndHashAlgorithms;

  WORD *pSignatureAndHashAlgorithms;

} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;

สมาชิก

cSignatureAndHashAlgorithms

นี่คือจำนวนขององค์ประกอบในอาร์เรย์ pSignatureAndHashAlgorithms

pSignatureAndHashAlgorithms

นี่คืออาร์เรย์ของค่าที่ระบุอัลกอริทึมได้รับการสนับสนุน

ไบต์ด้านบนสามารถเป็นหนึ่งในค่าต่อไปนี้ที่อัลกอริทึมลายเซ็นระบุ

ค่า	ความหมาย
0	อัลกอริทึมลายเซ็นที่ไม่ระบุชื่อ
1	อัลกอริทึมลายเซ็นแบบ RSA
2	อัลกอริทึมลายเซ็นของ DSA
3	อัลกอริทึมลายเซ็นของ ECDSA
255	จอง

ไบต์ต่ำลงอาจเป็นหนึ่งในค่าต่อไปนี้ที่ระบุอัลกอริทึมการแฮช

ค่า	ความหมาย
0	ไม่มี
1	อัลกอริทึมการแฮ md 5
2	อัลกอริทึมการแฮ SHA1
3	อัลกอริทึมการแฮ SHA 224
4	อัลกอริทึมการแฮ SHA 256
5	อัลกอริทึมการแฮ SHA 384
6	อัลกอริทึมการแฮ SHA 512
255	จอง

Requirements

หัวข้อ

Schannel.h

QueryContextAttributes

ฟังก์ชันนี้ช่วยให้แอพลิเคชันการขนส่งการสอบถามเกี่ยวกับแพคเกจความปลอดภัยสำหรับบางแอตทริบิวต์ของบริบทการรักษาความปลอดภัย

ulAttribute

นี่คือตัวชี้การบัฟเฟอร์ที่ประกอบด้วยแอตทริบิวต์ของบริบทที่จะสามารถเรียกใช้ ตารางต่อไปนี้แสดงค่าเป็นไปได้

ค่า

คำอธิบาย

SECPKG_ATTR_SUPPORTED_SIGNATURES

ค่านี้ส่งกลับข้อมูลเกี่ยวกับชนิดของลายเซ็นที่ได้รับการสนับสนุนสำหรับการเชื่อมต่อ พารามิเตอร์ pBuffer ประกอบด้วยตัวชี้ไปยัง SecPkgContext_SupportedSignatures โครงสร้าง

การตั้งค่ารีจิสทรีเบราว์เซอร์ตัวอย่างของ UI

ตารางต่อไปนี้แสดงการตั้งค่าที่ลงทะเบียนอินเทอร์เน็ตและการตั้งค่าการปฏิบัติงานในคีย์ย่อยของรีจิสทรีต่อไปนี้:

การตั้งค่า HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet

ชื่อ

ชนิด

คำอธิบาย

ค่าเริ่มต้น

SecureProtocols

REG_BINARY

00,02,00,00 (เปิดใช้งาน TLS 1.1 เท่านั้น)

00,08,00,00 (เปิดใช้งาน TLS 1.2 เท่านั้น)

นอกจากนี้คุณสามารถตั้งค่าคีย์นี้เป็น REG_DWORD "0AA8" เพื่อเปิดใช้งานโปรโตคอ

A0, 0A, 00, 00 (เปิดใช้งานโปรโตคอ ยกเว้น SSL2)

ข้อมูลการปรับปรุงซอฟต์แวร์

ข้อมูลการดาวน์โหลด

ขณะนี้พร้อมใช้งานจาก Microsoft Windows ฝังตัวกระชับ 7 เดือนปรับปรุง (2018 มีนาคม) ได้ เมื่อต้องการดาวน์โหลดการปรับปรุง ไปที่ศูนย์คู่ค้าอุปกรณ์ (DPC)

ข้อกำหนดเบื้องต้น

โปรแกรมปรับปรุงนี้ได้รับการสนับสนุนเฉพาะเมื่อมีการติดตั้งโปรแกรมปรับปรุงที่ออกใช้ก่อนหน้านี้ทั้งหมดสำหรับผลิตภัณฑ์นี้นอกจากนี้

ข้อกำหนดการรีสตาร์ท

หลังจากที่คุณใช้โปรแกรมปรับปรุงนี้ คุณต้องดำเนินการเป็นแพลตฟอร์มทั้งรุ่นใหม่ทั้งหมด เมื่อต้องการทำเช่นนี้ ใช้หนึ่งในวิธีต่อไปนี้:

บนเมนูสร้างเลือกโซลูชันใหม่ทั้งหมดจากนั้นสร้างโซลูชัน
บนเมนูสร้างเลือกโซลูชันที่สร้างใหม่

คุณไม่ต้องรีสตาร์ทคอมพิวเตอร์หลังจากใช้การปรับปรุงซอฟต์แวร์นี้

ข้อมูลการแทนที่การปรับปรุง

โปรแกรมปรับปรุงนี้ไม่แทนการปรับปรุงอื่น ๆ

ข้อมูลอ้างอิง

เรียนรู้เกี่ยวกับ คำศัพท์เฉพาะทาง ที่ Microsoft ใช้เพื่ออธิบายการปรับปรุงซอฟต์แวร์