Обмеження сценарій виконання деяких криптографічних алгоритмів і протоколів у Schannel. dll

Підтримку Windows XP припинено

8 квітня 2014 р. корпорація Майкрософт припинила підтримку Windows XP. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 245030
Підсумки
У цій статті описується обмеження сценарій виконання деяких криптографічних алгоритмів і протоколів у файлу Schannel. dll. Ця інформація стосується незалежних виробників програм, розроблених для до корпорації Майкрософт криптографії API інтерфейсу CAPI ().

Примітка. Розділи реєстру для Windows Server 2008 і пізніших версіях Windows див. розділ "для пізніших версіях Windows".
Додаткові відомості
Такі постачальники криптографічних послуг (ППО), які входять до складу пакета оновлень 6 для Windows NT 4.0, отримали сертифікати для FIPS 140 1 Криптографічна перевірки.:
  • постачальник послуг оренди застосунків бази Майкрософт шифрування (Rsabase.dll)
  • корпорація Майкрософт розширення постачальник послуг оренди застосунків шифрування (rsaenh. dll) (-експорт версія)
корпорація Майкрософт, TLS/SSL Security Provider, файлу Schannel. dll, використовує, ППО, наведених нижче проводити захист повідомлень через SSL або TLS підтримку Internet Explorer та інформаційних служб Інтернету (IIS).

Можна змінити файлу Schannel. dll для підтримки програмного комплексу стійкість, 1 і 2. Програма також має підтримувати шифру програмний комплекс, 1 і 2. Стійкість програмний комплекс, 1 і 2 не підтримуються в IIS 4.0 і 5.0.

Ця стаття містить, необхідної інформації з метою настроювання TLS/SSL Security Provider для Windows NT 4.0 пакета оновлень 6 і пізніших версій. Контроль сценарій виконання певних SSL 3.0 TLS 1.0 шифру програмних комплексів і щодо криптографічних алгоритмів, які підтримуються постачальник послуг оренди застосунків шифрування бази або службу криптографії розширення, можна використовувати в реєстрі Windows.

Примітка. У Windows NT 4.0 пакета оновлень 6 файлу Schannel. dll не використовує Microsoft Base DSS криптографії постачальника (Dssbase.dll) або Microsoft DS, Діффі-Хелмана розширення постачальник послуг оренди застосунків шифрування (dssenh. dll).

Стійкість пакетів.

Як SSL 3.0 (http://www.Mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt) і TLS 1.0 (RFC2246), з Інтернет-ПРОЕКТОМ "56-розрядна версія експорту шифру пакетів для TLS draft-ietf-tls-56-bit-ciphersuites-00.txt"-надати можливість сценарій виконання різних шифру пакетів. У номері цифра визначає, що ключів IKE автентифікація, шифрування та MAC алгоритмів, що використовуються до поточної сесії SSL/TLS. Зверніть увагу, що під Вільний час сценарій виконання пар ключів IKE і автентифікація алгоритмів, термін пар відображається лише один раз у відповідних визначення шифру програмного комплексу.

Windows NT 4.0 з пакетом оновлень 6 Microsoft TLS/SSL Security Provider підтримує в таких визначені SSL 3.0 "CipherSuite", під Вільний час сценарій виконання бази постачальник послуг оренди застосунків шифрування або службу криптографії розширення:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Примітка. Не SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA, не SSL_RSA_EXPORT1024_WITH_RC4_56_SHA визначено SSL 3.0 тексту. Однак деякі постачальники з SSL 3.0 підтримує їх. Це стосується, Microsoft.

Windows NT 4.0 служби оновлень 6 Microsoft TLS/SSL Security Provider також підтримує в таких TLS 1.0, визначені "CipherSuite" під Вільний час сценарій виконання постачальник послуг оренди застосунків шифрування на основі, або розширені постачальник послуг оренди застосунків шифрування:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Примітка. Стійкість програм, що визначається за допомогою перший байт "0x00" не містять особистої і використовується для зв'язок "один-до-одного" з відкритим сумісності. Таким чином, у Windows NT 4.0 з пакетом оновлень 6 Microsoft TLS/SSL Security Provider відповідає за допомогою цих пакетів, стійкість, зазначеної в SSL 3.0 і TLS 1.0, щоб переконатися, що сумісності процедури.

Розділи реєстру для конкретного безпечний канал

Увага! Цей розділ, спосіб або завдання, містить вказівки, про внесення змін до реєстру. Проте, серйозні проблеми можуть виникнути якщо внесені зміни до реєстру неправильні. Таким чином, переконайтеся, що ретельно виконані такі інтерактивні елементи. Для додаткового захисту створіть архівувати реєстру перед внесенням змін. Після цього можна відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про архівувати та відновлення реєстру клацніть номер статті в базі знань Microsoft Knowledge Base:
322756 архівувати та відновлення реєстру в ОС Windows
Примітка. Вміст ШИФРИ розділ або розділ ХЕШІ будь-які зміни набувати чинності, без перезавантаження системи.

Безпечний канал ключа.

Запустіть редактор реєстру (Regedt32.exe) і знайдіть такий розділ реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols підрозділ

Щоб активувати систему використовувати протоколи, які не може відбуватися за промовчанням, (наприклад, TLS 1.1 і TLS 1.2), змініть значення параметра DisabledByDefault значення "4 байти", 0x0 в наведених нижче розділів реєстру, у розділі, протоколи, щоб:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Увага! DisabledByDefault значення реєстру, у розділі, протоколи не вищий пріоритет над grbitEnabledProtocols значення, визначеного у структурі SCHANNEL_CRED із даними, безпечний канал облікові дані.

SCHANNEL\Ciphers підрозділ

Шифри розділ реєстру, у розділі, безпечний канал, використовується для контролю сценарій виконання пакетів у симетричному алгоритмів, наприклад, де і RC4. Нижче наведено дійсний параметри реєстру в розділі шифрів.
SCHANNEL\Ciphers\RC4 128/128 підрозділ.
RC4 128-128

128-розрядне шифрування RC4 посилається цей підрозділ.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. Або змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто. Цей розділ реєстру не застосовується до сервера можна експортувати, не є SGC сертифіката.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Три DES 168

Цей розділ реєстру відповідає DES тричі 168 розряду, як зазначено в форматі ANSI X9.52 і чернетки FIPS 46-3. Цей розділ реєстру не застосовується до експорту версії.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. Або змініть даних DWORD 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Примітка. Версії Windows, що випускає до Windows Vista розділ має бути тричі, де 168/168.
SCHANNEL\Ciphers\RC2 128/128 підрозділ.
RC2 128-128

128-розрядне шифрування RC2 посилається цей розділ реєстру. Це не стосується експорту версії.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

SCHANNEL\Ciphers\RC4 64/128 підрозділ.
RC4 64/128

64-розрядні RC4 посилається цей розділ реєстру. Це не стосується експорту версії (але використовується Microsoft Money).

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

SCHANNEL\Ciphers\RC4 56/128 підрозділ.
RC4 56/128

56-розрядна версія RC4 посилається цей розділ реєстру.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 підрозділ.
RC2 56/128

56-розрядна версія RC2 посилається цей розділ реєстру.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

SCHANNEL\Ciphers\RC2 56/56 підрозділ.

ДЕ 56

Цей розділ реєстру відповідає DES 56-розрядна версія, як зазначено в FIPS 46-2. У Rsabase.dll та rsaenh. dll-файли, перевірити FIPS 140-1 криптографії модуль програми перевірки.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 підрозділ.

RC4 40/128

Це стосується 40-розрядної RC4.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 підрозділ.

RC2 40/128

40-розрядної RC2 посилається цей розділ реєстру.

Щоб цей алгоритм, стійкість, змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0. Якщо не настроїти значення увімкнуто, значення за промовчанням увімкнуто.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL підрозділ

ЗНАЧЕННЯ NULL

Цей розділ реєстру означає, що без шифрування. за промовчанням вмикається автоматично.

Вимкнення функції шифрування (заборонити. Усі стійкість-алгоритмів), змініть значення параметра увімкнуто значення "4 байти" 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0.

Безпечний канал/хеші підрозділ.

Хеши розділ реєстру, у розділі, безпечний канал, використовується для контролю сценарій виконання хеш алгоритмів як SHA-1 "і" MD5. Нижче наведено дійсний у реєстрі хеші-ключі.

SCHANNEL\Hashes\MD5 підрозділ

MD5

Щоб дозволити хеш-алгоритм, змінити значення параметра увімкнуто значення "4 байти" значення за промовчанням 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA підрозділ

SHA

Цей розділ реєстру відповідає Secure алгоритм гешування (SHA-1), як зазначено в FIPS 180-1. У Rsabase.dll та rsaenh. dll-файли, перевірити FIPS 140-1 криптографії модуль програми перевірки.

Щоб дозволити хеш-алгоритм, змінити значення параметра увімкнуто значення "4 байти" значення за промовчанням 0xFFFFFFFF. В іншому випадку, змініть значення параметра DWORD для 0x0.

Вимкнення цього алгоритму, фактично не дозволяє такі:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Безпечний канал/KeyExchangeAlgorithms підрозділ

KeyExchangeAlgorithms розділ реєстру, у розділі, безпечний канал, використовується для контролю сценарій виконання ключів IKE алгоритмів, наприклад, пар. Нижче наведено дійсний параметри реєстру в розділі KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS підрозділ
PKCS

Цей розділ реєстру посилається на пар як ключ exchange і автентифікація алгоритмів.

Щоб дозволити пар, змінити значення параметра увімкнуто значення "4 байти" значення за промовчанням 0xFFFFFFFF. В іншому випадку, змінення даних DWORD 0x0.

Вимкнення пар, фактично, не дозволяє всі на основі пар SSL і TLS шифру програмних комплексів підтримується Windows NT4 SP6 Microsoft TLS/SSL Security Provider.

FIPS 140-1 шифру пакетів

Можна використовувати лише ті SSL 3.0 TLS 1.0 шифру програмних комплексів і відповідають FIPS 46-3 або FIPS 46-2 та алгоритмів FIPS 180-1, надані базі Майкрософт, або розширені постачальник послуг оренди застосунків шифрування.

У цій статті будуть служити їх FIPS 140-1 шифру пакетів. Зокрема, вони є такими:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Використовувати лише FIPS 140-1 шифру програмних комплексів розроблена тут і підтримується у Windows NT 4.0 з пакетом оновлень 6 Microsoft TLS/SSL Security Provider постачальник послуг оренди застосунків шифрування бази або розширені постачальник послуг оренди застосунків шифрування, настройте значення параметра DWORD значення увімкнуто, в наведених нижче розділів реєстру, щоб 0x0:
  • SCHANNEL\Ciphers\RC4 128-128
  • SCHANNEL\Ciphers\RC2 128-128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Та настроювання значення параметра DWORD значення увімкнуто, у наведених нижче розділів реєстру, щоб 0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[не застосовується у версії для експорту]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Майстер таємницю обчислення, за допомогою FIPS 140-1 шифру пакетів

Процедури, за допомогою шифру FIPS 140-1, для програмних комплексів у SSL 3.0 відрізняються від процедури для сценарій виконання пакетів FIPS 140-1 шифру TLS 1.0.

У SSL 3.0 нижче наведено визначення master_secret обчислення:

У TLS 1.0 нижче наведено визначення master_secret обчислення:

де:

Якщо вибрати параметр, використовувати TLS 1.0 лише FIPS 140-1 шифру програмних комплексів:

Через цю ситуацію користувачів можна заборонити сценарій виконання SSL 3.0, незважаючи на те, що дозволені набір шифру комплектів обмежена лише частину FIPS 140-1 шифру пакетів. У такому випадку, змініть значення параметра увімкнуто значення "4 байти" 0x0 у таких розділах реєстру в розділі протоколи:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Увага! Значення увімкнуто, у цих розділів реєстру, у розділі, протоколи, має пріоритет над grbitEnabledProtocols значення, визначеного у структурі SCHANNEL_CRED із даними, безпечний канал облікові дані. значення за промовчанням увімкнуто є. 0xFFFFFFFF.

Приклад-файли реєстру

Два приклади реєстру вміст файлу конфігурації, описані в цьому розділі цієї статті. Вони Export.reg і Non-export.reg.

На комп'ютері під керуванням Windows NT 4.0 з пакета оновлень 6 з можна експортувати Rasbase.dll і Schannel. dll-файлів, запустіть Export.reg, щоб переконатися, що лише TLS 1.0 FIPS шифрування, програмних комплексів, які використовуються на комп'ютері.

На комп'ютері під керуванням Windows NT 4.0 з пакета оновлень 6, що містить не можна експортувати Rasenh.dll і Schannel. dll-файлів, запуск, не export.reg, щоб переконатися, що лише TLS 1.0 FIPS шифрування, програмних комплексів, які використовуються на комп'ютері.

Для файлу Schannel. dll розпізнавати будь-які зміни у розділі реєстру з безпечний канал, перезавантажте комп’ютер-зразок.

Щоб повернути настройки реєстру за промовчанням, видалити, безпечний канал розділ реєстру і все це. Якщо ці розділи реєстру не існує, за Schannel. dll буде створено розділи під Вільний час перезавантаження комп'ютера.
Пізніших версій Windows
З реєстру у Windows Server 2003 та попередніх версіях відрізняються розділів реєстру та їх вміст у Windows Server 2008, Windows 7 і Windows Server 2008 R2. Розташування реєстру в ОС Windows 7, Windows Server 2008 і Windows Server, 20008 R2 і стандартний вміст наведено нижче.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Стандартний формат для експорту REGEDIT відображається вміст.

Примітки
  • Шифри розділ має містити, немає значення або підрозділів.
  • CipherSuites розділ має містити, немає значення або підрозділів.
  • Хеши розділ має містити, немає значення або підрозділи.
  • KeyExchangeAlgorithms розділ має містити, немає значення або підрозділів.
  • Ключ протоколи, має містити такі підрозділи та значення:
    • Протоколів
      • SSL 2.0
        • Клієнт
          • DisabledByDefault-REG_DWORD 0x00000001 (значення)
Windows Server 2008, підтримує такі протоколи:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 та Windows 7, підтримує такі протоколи:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Протоколів можна вимкнути на сервер або клієнт архітектури. Це означає, що протокол може бути вказано або відключити:
  • Протокол значення зі списку протоколів, які входять до до клієнта Привіт, коли запускається підключення SSL.
  • Протокол може бути вимкнуто на сервері, таким чином, за допомогою протоколу, навіть, якщо клієнт запитує, SSL 2.0 не відповість на сервері.
Клієнт і сервер підрозділи, призначити кожного протоколу. Можна вимкнути за допомогою протоколу клієнті або сервері. Однак вимкнення шифри, хеші або CipherSuites впливає на сервером та клієнтом. Ви повинні створити потрібні підрозділи, у розділі протоколи, щоб вирішити проблему. Наприклад:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Після того, як створення підрозділи реєстру відображається так:



За промовчанням в ОС Windows 7, Windows Server 2008 і Windows Server 2008 R2, вимикається клієнта SSL 2.0. Це означає, що комп’ютер-зразок не буде використовувати SSL 2.0 для запуску з клієнтом вітаю. Таким чином, реєстр відображається так:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Так само, як шифри і KeyExchangeAlgorithms протоколів можна вмикати або вимкнути. Щоб увімкнути або вимкнути за допомогою протоколу SSL 2.0, наприклад, вкажіть такі значення, в системному реєстрі з клієнтом і сервером.

Примітка. Щоб увімкнути або вимкнути, SSL 2.0, потрібно увімкнути або вимкнути його на клієнтському комп'ютері, так і сервера.

Розташування для SSL 2.0 реєстр на клієнтському комп'ютері становить:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Реєстр розташування на комп'ютері сервера SSL 2.0 становить:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Щоб увімкнути протокол SSL 2.0, виконайте такі дії:
  1. На клієнтському комп'ютері установіть значення DisabledByDefault 00000000.
  2. На сервері комп'ютера, установіть значення увімкнуто 0xffffffff.
  3. Перезавантажте комп’ютер-зразок.
Щоб вимкнути SSL 2.0, виконайте такі дії:
  • На клієнтському комп'ютері установіть значення DisabledByDefault 00000001.
  • На сервері комп'ютера, установіть значення увімкнуто 00000000.
  • Перезавантажте комп’ютер-зразок.

Примітки
  • За допомогою до увімкнено = 0x0 параметр реєстру, вимкнення протоколу. Цей параметр не буде перезаписано і підтримкою у структурі grbitEnabledProtocols .
  • За допомогою параметра реєстру " DisabledByDefault " лише запобігає протоколу випуск вітаю команду через протокол, що під Вільний час ініціалізації SSL-з'єднання із сервером. Цей параметр буде перезаписано і таким чином, використовується, якщо він входить до складу grbitEnabledProtocols структуру.
  • Щоб запобігти використовується протокол, використовуйте в увімкнено = 0x0 параметр.
SP6

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 245030 – останній перегляд: 01/15/2016 07:31:00 – виправлення: 7.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtuk
Зворотний зв’язок