Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Bazı şifreleme algoritmaları ve protokollerinin Schannel.dll dosyasında kullanımını sınırlama hakkında

Windows XP desteği sona erdi

Microsoft, Windows XP desteğini 8 Nisan 2014'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 245030
Özet
Bu makalede, belirli şifreleme algoritmaları ve protokollerinin Schannel.dll dosyasında kullanımını sınırlamak nasıl açıklanır. Bu bilgiler Microsoft Şifreleme API (CAPI) için yazılmış olan bağımsız yazılım satıcısı (ISV) uygulamaları için de geçerlidir.

Not Windows Server 2008 ve sonraki Windows sürümleri için geçerli kayıt defteri anahtarları için "For Windows'un sonraki sürümlerinde" bölümüne bakın.
Daha fazla bilgi
Windows NT 4.0 Service Pack 6 ile birlikte aşağıdaki şifreleme hizmeti sağlayıcılarını (CSP) sertifikalarını ödüllendirildi FIPS 140-1 şifre doğrulama:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft Gelişmiş Şifreleme Sağlayıcısı (Rsaenh.dll) (olmayan ihraç sürümü)
Schannel.dll dosyasının Microsoft TLS/SSL güvenlik sağlayıcısı, Internet Explorer ve Internet Information Services (IIS) desteğini de SSL veya TLS üzerinden güvenli iletişimi yürütmek için burada listelenen CSP'lerden kullanır.

Schannel.dll dosyasının şifre paketi 1 ve 2 desteklemek için değiştirebilirsiniz. Ancak, program şifre paketi 1 ve 2 de desteklemesi gerekir. Şifre paketi 1 ve 2 IIS 4.0 ve 5.0 sürümlerinde desteklenmez.

Bu makalede TLS/SSL güvenlik sağlayıcısı için Windows NT 4.0 Service Pack 6 ve sonraki sürümlerinde yapılandırmak için gerekli bilgileri içerir. Windows kayıt defteri, belirli 3.0 SSL veya TLS 1.0 şifre paketleri ile ilgili temel şifreleme sağlayıcısı veya Gelişmiş Şifreleme Sağlayıcısı tarafından desteklenen şifreleme algoritmaları kullanımını denetlemek için kullanabilirsiniz.

Not Windows NT 4.0 Service Pack 6 ' Schannel.dll dosyasının Microsoft Base DSS şifreleme sağlayıcısı (Dssbase.dll) veya Microsoft DS/Diffie-Hellman Gelişmiş Şifreleme Sağlayıcısı (Dssenh.dll) kullanmaz.

Şifre paketleri

Her iki SSL 3.0 ()http://www.Mozilla.org/Projects/Security/pki/nss/SSL/draft302.txt) ve Internet-Taslak "verme şifre paketleri için TLS draft-ietf-tls-56-bit-ciphersuites-00.txt 56-bit" ile TLS 1.0 (RFC2246) farklı şifre paketleri kullanmak için seçenekler sağlar. Her şifre paketi anahtar değişimi, kimlik doğrulama, şifreleme ve bir SSL/TLS oturumda kullanılan MAC algoritmaları belirler. RSA anahtar değişimi ve kimlik doğrulama algoritmaları kullandığınızda, bu terim RSA karşılık gelen şifre paketi tanımları içinde yalnızca bir kez göründüðüne dikkat edin.

Temel şifreleme sağlayıcısı veya Gelişmiş Şifreleme Sağlayıcısı kullanırsanız, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı aşağıdaki SSL 3.0 tanımlanan "CipherSuite" destekler:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Not Ne SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ne de SSL_RSA_EXPORT1024_WITH_RC4_56_SHA SSL 3.0 metin olarak tanımlanır. Ancak, birden fazla SSL 3.0 satıcı bunları destekler. Bu Microsoft içerir.

Temel şifreleme sağlayıcısı veya Gelişmiş Şifreleme Sağlayıcısı kullanırsanız, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı aşağıdaki TLS 1.0 tarafından tanımlanan "CipherSuite" de destekler:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Not İlk bayt "0x00" kullanılarak tanımlanmış bir şifre paketi özel olmayan ve birlikte Aç iletişim için kullanılır. Bu nedenle, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı birlikte çalışabilirliği sağlamak için SSL 3.0 ve TLS 1.0 belirtildiği gibi bu şifre paketleri kullanarak yordamları takip eder.

Schannel özel kayıt defteri anahtarları

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Kayır defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
322756 Windows kayıt defterini geri yükleme ve yedekleme
Not ŞİFRELERİ veya KARMA tuşuna içeriğini değişiklikler sistem yeniden başlatma hemen, etkili olur.

SCHANNEL anahtarı

Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın ve aşağıdaki kayıt defteri anahtarını bulun:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols alt anahtarı

Sistemi (örneğin, TLS 1.1 ve TLS 1.2) varsayılan olarak anlaşılan değil protokolleri etkinleştirmek için DisabledByDefault değerinin DWORD değer 0x0 protokolleri anahtarı altında aşağıdaki kayıt defteri anahtarlarındaki değiştirin:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Uyarı DisabledByDefault değeri protokolleri anahtarı altındaki kayıt defteri anahtarlarındaki Schannel kimlik bilgisi için veri içeren SCHANNEL_CRED yapısında tanımlı grbitEnabledProtocols değer üzerinde öncelikli değildir.

SCHANNEL\Ciphers alt anahtarı

SCHANNEL anahtar şifreleri kayıt defteri anahtarında, DES ve RC4 gibi simetrik algoritmaları kullanımını denetlemek için kullanılır. Şifreleri anahtarı altında geçerli kayıt defteri anahtarları şunlardır:
SCHANNEL\Ciphers\RC4 128/128 alt
RC4 128/128

Bu alt anahtar için 128-bit RC4 başvurur.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Veya, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir. Bu kayıt defteri anahtarı bir SGC sertifikası olmayan verilebilir bir sunucu için geçerli değildir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Üçlü DES 168

Bu kayıt defteri anahtarı ANSI X9.52 ve taslak FIPS 46-3'te belirtildiği gibi Üçlü DES 168 bit anlamına gelir. Bu kayıt defteri anahtarı verme sürümü için geçerli değildir.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Veya DWORD veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Not Önce Windows Vista sürümleri Windows sürümleri için Üçlü DES 168/168anahtarı olmalıdır.
SCHANNEL\Ciphers\RC2 128/128 alt
RC2 128/128

Bu kayıt defteri anahtarı 128-bit RC2 sürümüne başvurur. İhraç sürümü için geçerli değildir.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

SCHANNEL\Ciphers\RC4 64/128 alt
RC4 64/128

Bu kayıt defteri anahtarı için 64-bit RC4 başvurur. İhraç sürümü için geçerli değildir (ancak Microsoft Money kullanılır).

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Alt SCHANNEL\Ciphers\RC4 56/128
RC4 56/128

Bu kayıt defteri anahtarı için 56 bitlik RC4 başvurur.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Alt SCHANNEL\Ciphers\RC2 56/128
RC2 56/128

Bu kayıt defteri anahtarı 56-bit RC2 sürümüne başvurur.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

SCHANNEL\Ciphers\RC2 56/56 alt

DES 56

Bu kayıt defteri anahtarı 56 bitlik DES 46 2 FIPS belirtildiği gibi ifade eder. FIPS 140-1 şifreleme modülünü doğrulama programı kapsamında Rsabase.dll ve Rsaenh.dll dosyalarını kendi oluşumunda doğrulanır.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 alt

RC4 40/128

Bunun için 40-bit RC4 başvurur.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 alt

RC2 40/128

Bu kayıt defteri anahtarı 40-bit RC2 sürümüne başvurur.

Bu şifreleme algoritması izin vermek için etkin değeri DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0. Etkin değeri devre dışı bırakırsanız, varsayılan değer etkindir.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL alt anahtarı

NULL

Bu kayıt defteri anahtarının şifreleme yok anlamına gelir. Varsayılan olarak kapalıdır.

Şifreleme devre dışı bırakmak için (tüm şifreleme algoritmaları vermemek) için etkin değer DWORD değer verisini Değiştir 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0.

SCHANNEL/karma değerlerini alt

SCHANNEL anahtar karma değerlerini kayıt defteri anahtarında gibi SHA-1 ve MD5 karma algoritmalar kullanımını denetlemek için kullanılır. Karma anahtarı altında geçerli kayıt defteri anahtarları şunlardır:

SCHANNEL\Hashes\MD5 alt anahtarı

MD5

Bu karma algoritma izin vermek için varsayılan değer olarak etkin değer DWORD değer verisini değiştirmek 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA alt anahtarı

SHA

Bu kayıt defteri anahtarı güvenli karma algoritması için (SHA-1), FIPS 180-1'de belirtildiği gibi ifade eder. FIPS 140-1 şifreleme modülünü doğrulama programı kapsamında Rsabase.dll ve Rsaenh.dll dosyalarını kendi oluşumunda doğrulanır.

Bu karma algoritma izin vermek için varsayılan değer olarak etkin değer DWORD değer verisini değiştirmek 0xFFFFFFFF. Aksi halde, DWORD değeri veri değiştirme 0x0.

Bu algoritma etkili şekilde devre dışı bırakma aşağıdaki izin vermez:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms alt anahtarı

SCHANNEL anahtarının altında KeyExchangeAlgorithms kayıt defteri anahtarı gibi RSA anahtar değişimi algoritmalarından kullanımını denetlemek için kullanılır. KeyExchangeAlgorithms anahtarı altında geçerli kayıt defteri anahtarları şunlardır:

SCHANNEL\KeyExchangeAlgorithms\PKCS alt anahtarı
PKCS

Bu kayıt defteri anahtarı için RSA anahtar değişimi ve doğrulaması algoritmaları başvurur.

RSA izin vermek için varsayılan değer olarak etkin değer DWORD değer verisini değiştirme 0xFFFFFFFF. Aksi halde, DWORD veri değiştirme 0x0.

RSA etkili şekilde devre dışı bırakma Windows NT4 SP6 Microsoft TLS/SSL güvenlik sağlayıcısı tarafından desteklenen RSA tabanlı tüm SSL ve TLS şifreleme paketlerine izin vermez.

FIPS 140-1 şifre paketleri

FIPS 46-3 veya FIPS 46 2 ve FIPS 180-1 algoritmaları Microsoft Base veya Gelişmiş Şifreleme Sağlayıcısı tarafından sağlanan karşılık gelen sadece bu SSL 3.0 veya TLS 1.0 şifre paketleri kullanmak isteyebilirsiniz.

Bu makalede, biz FIPS 140-1 şifre paketleri başvurmak. Özellikle, bunlar aşağıda belirtilmiştir:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Burada tanımlandığı gibi yalnızca FIPS 140-1 şifre paketleri kullanmak ve Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik sağlayıcısı Base Cryptographic Provider veya Gelişmiş Şifreleme Sağlayıcısı tarafından desteklenen için aşağıdaki kayıt defteri anahtarlarındaki DWORD değer verisini etkin değeri yapılandırmak için 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Ve etkin değerinin DWORD değer verisi için aşağıdaki kayıt defteri anahtarlarını yapılandırın 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • DES SCHANNEL\Ciphers\Triple 168/168"[verme sürümü geçerli değil]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 şifre paketleri kullanarak ana gizli hesaplama

FIPS 140-1 şifre takımlarının TLS 1.0 kullanarak yordamları SSL 3.0 paketleri farklı FIPS 140-1 şifre kullanarak yordamları.

SSL 3. 0'da, tanım master_secret hesaplama aşağıdaki gibidir:

TLS 1. 0'da, tanım master_secret hesaplama aşağıdaki gibidir:

Burada:

FIPS 140-1 şifre paketleri yalnızca TLS 1.0 Kullan seçeneğini seçerek:

Bu fark nedeniyle, müşterilerin şifre paketleri izin verilen kümesi yalnızca FIPS 140-1 şifre paketleri alt sınırlı olsa da SSL 3.0 kullanımını yasaklamak isteyebilirsiniz. Bu durumda, etkin değeri DWORD değer verisini Değiştir 0x0 Aşağıdaki kayıt defteri anahtarlarında protokolleri anahtarı altında:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Uyarı Bu kayıt defteri anahtarları protokolleri anahtarı altında etkin değer verisinin Schannel kimlik bilgisi için veri içeren SCHANNEL_CRED yapısında tanımlı grbitEnabledProtocols değeri daha önceliklidir. Varsayılan değer verisidir etkin 0xFFFFFFFF.

Örnek kayıt defteri dosyaları

Makalenin bu bölümünde iki örnek yapılandırma için kayıt defteri dosyası içeriği sağlanır. Export.reg ve export.reg olmayan değildirler.

Bir bilgisayarda Windows NT 4.0 Service Pack 6 ile verilebilir Rasbase.dll çalıştığı ve Schannel.dll dosyaları yalnızca TLS 1.0 FIPS paketleri şifre emin olmak için Export.reg çalıştırın, bilgisayar tarafından kullanılır.

Schannel.dll dosyaları yalnızca TLS 1.0 FIPS paketleri şifre emin olmak için Non-export.reg çalıştırın, bilgisayar tarafından kullanılır ve Windows NT 4.0 Service Pack 6 çalışan bir bilgisayarda, verilemeyen Rasenh.dll içerir.

Schannel.dll dosyasının SCHANNEL kayıt defteri anahtarı altındaki herhangi bir değişiklik tanıması bilgisayarınızı yeniden başlatmalısınız.

Kayıt defteri ayarlarını varsayılan ayarlarına dönmek için SCHANNEL kayıt defteri anahtarı ve altındaki her şeyi silin. Bu kayıt defteri anahtarları yoksa, bilgisayarı yeniden başlattığınızda Schannel.dll anahtarlar oluşturur.
Windows'un sonraki sürümleri
Kayıt defteri anahtarlarını ve içeriklerini Windows Server 2008, Windows 7 ve Windows Server 2008 R2'de kayıt defteri anahtarları Windows Server 2003 ve önceki sürümlerinde farklı görünüyor. Kayıt defteri konumu Windows 7, Windows Server 2008 ve Windows Server 20008 R2 ve varsayılan içeriği aşağıdaki gibidir:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

Bu içerik, standart REGEDIT verme biçiminde görüntülenir.

Notlar
  • Şifreleri anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • Şifreleme paketleri anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • Karma anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • KeyExchangeAlgorithms anahtar değerleri ya da alt anahtarları içermesi gerekir.
  • İletişim kuralları bu anahtar aşağıdaki alt anahtarlar ve değer içermelidir:
    • İletişim kuralları
      • SSL 2.0
        • İstemci
          • DisabledByDefault REG_DWORD 0x00000001 (değer)
Windows Server 2008 aşağıdaki protokolleri destekler:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 ve Windows 7 aşağıdaki protokolleri destekler:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Bu iletişim kuralları sunucu veya istemci mimarisi için devre dışı bırakılabilir. Bu iletişim kuralı atlanmış veya aşağıdaki şekilde devre dışı anlamına gelir:
  • İletişim kuralı SSL bağlantısı başladığında, istemci Merhaba içinde bulunan desteklenen protokolleri listesinden atlanabilir.
  • Böylece istemci, SSL 2.0 istese bile, iletişim kuralı kullanılarak sunucu yanıt vermez Protokolü sunucuda devre dışı bırakılabilir.
İstemci ve sunucu anahtarlarını her iletişim kuralı atayın. İstemci veya sunucu için bir iletişim kuralı devre dışı bırakabilirsiniz. Ancak, şifreleri, karma veya şifreleme paketleri devre dışı bırakılması, hem istemci hem de sunucu taraflı etkiler. Bunu başarmak için protokolleri anahtarı altında gerekli alt anahtarları oluşturmak gerekir. Örneğin:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Kayıt defteri alt anahtarlarını oluşturduktan sonra aşağıdaki gibi görüntülenir:



Varsayılan olarak, istemci SSL 2.0 Windows Server 2008, Windows Server 2008 R2 ve Windows 7'de devre dışı bırakılır. Bu bilgisayarı SSL 2.0 bir istemci Merhaba başlatmak için kullanacağı değil anlamına gelir. Bu nedenle, kayıt defterinde aşağıdaki gibi görüntülenir:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
Şifreleri ve KeyExchangeAlgorithms tam olarak gibi protokolleri etkin veya devre dışı. SSL 2.0 gibi bir iletişim kuralı devre dışı bırakmak veya etkinleştirmek için istemci ve sunucu üzerindeki sistem kayıt defterinde aşağıdaki değerleri ayarlayın.

Not SSL 2.0 devre dışı bırakmak veya etkinleştirmek için etkinleştirmek veya istemci bilgisayar ve sunucu bilgisayar üzerinde devre dışı bırakın.

SSL 2.0 istemci bilgisayarında kayıt defteri konumu aşağıdaki gibidir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

SSL 2.0 sunucu bilgisayardaki kayıt defteri konumu aşağıdaki gibidir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

SSL 2.0 etkinleştirmek için şu adımları izleyin:
  1. İstemci bilgisayarda, 00000000 için DisabledByDefault DWORD değerini ayarlayın.
  2. Sunucu bilgisayarda etkin DWORD değerini 0xffffffff olarak ayarlayın.
  3. Bilgisayarı yeniden başlatın.
SSL 2.0 devre dışı bırakmak için şu adımları izleyin:
  • İstemci bilgisayarda DisabledByDefault DWORD değerini 00000001 olarak ayarlayın.
  • Sunucu bilgisayarda 00000000 için etkin DWORD değerini ayarlayın.
  • Bilgisayarı yeniden başlatın.

Notlar
  • Kullanarak Etkin 0x0 = kayıt defteri ayarı iletişim kuralı devre dışı bırakır. Bu ayar üzerine ve grbitEnabledProtocols yapısında etkin.
  • DisabledByDefault kayıt defteri ayarı yalnızca bu protokol bir sunucu ile bir SSL bağlantı başlattığında Merhaba komutu bu protokolü üzerinden veren engel olur. Bu ayar üzerine ve grbitEnabledProtocols yapısında yer alıyorsa, bu nedenle kullanılır.
  • Bir iletişim kuralı kullanılmasını engellemek için kullanın Enabled = 0x0 ayarı.
SP6

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 245030 - Son İnceleme: 05/07/2016 21:39:00 - Düzeltme: 15.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMttr
Geri bildirim