Вступ
У цій статті описується, оновлення для підтримки Транспортний рівень безпеки TLS 1.1 і TLS 1.2 у Windows 7 вбудований Compact.
Перш ніж інсталювати це оновлення, потрібно інсталювати всі попередньо випущені оновлення, для цього продукту.
Загальні відомості
Увімкнути TLS 1.1 і TLS 1.2
За промовчанням TLS 1.1 і TLS 1.2 ввімкнено, коли пристрій під керуванням Windows 7 вбудований Compact налаштовано як клієнт, за допомогою настройки браузера. Протоколи вимкнуто, коли Windows-вбудовані стиснути 7-на основі пристрій настроєно на веб-сервера.
Щоб увімкнути або вимкнути TLS 1.1 і TLS 1.2, можна використовувати наведені нижче розділи реєстру.
TLS 1.1
Такий підрозділ реєстру, контролю використання TLS 1.1:
HKEY_LOCAL_MACHINE , \Comm\SecurityProviders\SCHANNEL\Protocols,\TLS 1.1
Вимкнення протоколу TLS 1.1, потрібно створити запис DWORD увімкнуто у відповідний підрозділ і потім змініть значення на 0. Щоб увімкнути протокол, слід змінити значення 1. За промовчанням цей запис відсутній у реєстрі.
Примітка. Та узгодити TLS 1.1, необхідно створити DisabledByDefault DWORD у відповідний підрозділ реєстру (клієнта, сервер) та змініть значення на 0.
TLS 1.2
Такий підрозділ реєстру, контролю використання TLS 1.2:
HKEY_LOCAL_MACHINE - \Comm\SecurityProviders\SCHANNEL\Protocols-\TLS 1.2
Вимкнення протоколу TLS 1.2, потрібно створити запис DWORD увімкнуто у відповідний підрозділ і потім змініть значення на 0. Щоб увімкнути протокол, слід змінити значення 1. За промовчанням цей запис відсутній у реєстрі.
Примітка. Та узгодити TLS 1.2, необхідно створити DisabledByDefault DWORD у відповідний підрозділ реєстру (клієнта, сервер) та змініть значення на 0.
Додаткові примітки
-
DisabledByDefault значення реєстру, у розділі, протоколи не вищий пріоритет над grbitEnabledProtocols значення, визначеного у структурі SCHANNEL_CRED із даними, на безпечний канал облікових.
-
На на Запит на коментарі (RFC), дизайн реалізація не дозволяє SSL2 і TLS 1.2 для ввімкнення одночасно.
Додаткові відомості
Будь ласка, ознайомтеся з наведених нижче розділах додаткову інформацію про TLS 1.1 і 1.2.
Стійкість пакети, які підтримують лише TLS 1.2
Такі нещодавно додано шифру комплектів підтримуються TLS 1.2 лише:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(Необов'язково) Це DWORD, містить рядок трохи, яке представляє протоколів, які мають такі умови:
-
На підключення, що зроблено з обліковими даними, які придбали за допомогою цієї структури
У таблиці нижче наведено додаткові можливі позначки, учасник може містити.
|
Значення |
Опис |
|
SP_PROT_TLS1_2_CLIENT |
Транспорт рівень безпеки 1.2 на стороні клієнта. |
|
SP_PROT_TLS1_2_SERVER |
Транспорт рівень безпеки 1.2 на сервері |
|
SP_PROT_TLS1_1_CLIENT |
Транспорт рівень безпеки 1.1 на стороні клієнта. |
|
SP_PROT_TLS1_1_SERVER |
Передати на сервері рівень безпеки 1.1 |
BufferType
Набір біт позначки вказує на тип буфера. У таблиці нижче наведено додаткові доступні прапорці, щоб TLS 1.2.
|
Позначка |
Опис |
|
SECBUFFER_ALERT |
Буфер, містить повідомлення. |
dwProtocol
Це визначає, що протокол, який використовується для встановлення цього підключення. У таблиці нижче наведено додаткові припустимих констант, для цього елемента.
|
Значення |
Опис |
|
SP_PROT_TLS1_2_CLIENT |
Транспорт рівень безпеки 1.2 на стороні клієнта. |
|
SP_PROT_TLS1_2_SERVER |
Транспорт рівень безпеки 1.2 на сервері |
|
SP_PROT_TLS1_1_CLIENT |
Транспорт рівень безпеки 1.1 на стороні клієнта. |
|
SP_PROT_TLS1_1_SERVER |
Передати на сервері рівень безпеки 1.1 |
Це ідентифікатор алгоритм (ALG_ID) для групового шифрування стійкість, які використовуються цим підключенням. У таблиці нижче наведено додаткові припустимих констант, для цього елемента.
|
Значення |
Опис |
|
CALG_AES_256 |
Алгоритму 256-бітного шифрування AES |
|
CALG_AES_128 |
Алгоритму 128-розрядне шифрування AES |
|
CALG_3DES |
Алгоритм шифрування 3DES-блокування |
Структура
Це визначає підпису алгоритмів, які підтримуються в безпечний канал зв'язку .
Синтаксис (c + +)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Учасників
-
cSignatureAndHashAlgorithms
Це число елементів у масиві pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
Це масив, які визначають підтримуваних алгоритмів.
Верхній байт може бути одне з таких значень, яке вказує на алгоритм підпису.Значення
Зміст
0
Алгоритм анонімний підпису.
1
Алгоритм підпису пар
2
Алгоритм підпису DSA
3
Алгоритм підпису ECDSA
255
Захищені
Нижня байт може бути одне з таких значень, який визначає геш-алгоритм.Значення
Зміст
0
Немає
1
MD5 алгоритм гешування
2
Алгоритм гешування SHA1
3
Алгоритм гешування SHA-224
4
Алгоритм гешування SHA-256
5
Алгоритм гешування SHA-384
6
Алгоритм гешування SHA-512
255
Захищені
Requirements
Заголовок
Schannel.h
Ця функція дозволяє застосування транспортування запиту пакет безпеки для певних атрибутів в контексті безпеки користувача.
ulAttribute
Це вказівник на буфер, який містить атрибути в контексті, який можна отримати. У таблиці нижче наведено, можливих значень.
|
Значення |
Опис |
|
SECPKG_ATTR_SUPPORTED_SIGNATURES |
-Це значення повертає відомості про типи підпису, що підтримуються для підключення. Параметр pBuffer, містить вказівник на SecPkgContext_SupportedSignatures структури. |
Настройки реєстру зразок браузера для інтерфейсу користувача
У таблиці нижче наведено настройки реєстру Інтернет і робочих параметрів в такому підрозділі реєстру:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
|
Ім'я |
Тип |
Опис |
Значення за промовчанням |
|
SecureProtocols |
REG_BINARY |
00,02,00,00, (лише дозволяє TLS 1.1) 00,08,00,00, (лише дозволяє TLS 1.2) Також можна встановити цей розділ, як REG_DWORD "0AA8", щоб увімкнути всі протоколи. |
A0, 0A, 00, 00, (дає змогу всіх протоколів, крім SSL2.) |
Відомості про для оновлення програмного забезпечення
Відомості про завантаження
Вбудований Compact 7 щомісячні оновлення Windows (березень 2018) доступна від корпорації Майкрософт. Щоб завантажити оновлення, перейдіть до Пристрою центр партнерів (коп).
Попередні вимоги
Це оновлення, підтримується лише, якщо всі попередньо випущені оновлення, для цього продукту також інстальовано.
Необхідність перезавантаження
Після інсталяції цього оновлення, потрібно виконати чисте побудувати всієї платформи. Для цього скористайтеся одним із наведених нижче способів.
-
Створення меню виберіть Чистого рішенняі виберіть Побудувати рішення.
-
У меню створити , виберіть Відновити рішення.
Вам не потрібно перезавантажити комп'ютер, після інсталяції цього оновлення програмного забезпечення.
Відомості про заміну оновлення
Це оновлення не замінює жодних інших оновлень.
Посилання
Відомості про термінологію , яку використовує корпорація Майкрософт для опису оновлень програмного забезпечення.
