Làm thế nào để hạn chế việc sử dụng các thuật toán mật mã và giao thức Schannel.dll

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 245030
Tóm tắt
Bài viết này mô tả cách hạn chế việc sử dụng các thuật toán mật mã và giao thức tệp Schannel.dll. Thông tin này cũng áp dụng phần mềm độc lập (ISV) cung cấp ứng dụng được viết cho API mã Microsoft (CAPI).

Lưu ý: Cho khoá kiểm nhập áp dụng cho Windows Server 2008 và các phiên bản mới hơn của Windows, hãy xem phần "dành cho phiên bản mới hơn của Windows".
Thông tin thêm
Sau mã bản ghi dịch vụ (CSP) đi kèm với Windows NT 4.0 Service Pack 6 được trao tặng chứng chỉ cho Xác nhận mật mã FIPS 140 1:
  • Cơ sở Microsoft cung cấp mật mã hoá (Rsabase.dll)
  • Microsoft nâng cao mã nhà cung cấp (Rsaenh.dll) (Phiên bản không xuất khẩu)
Microsoft nhà cung cấp bảo mật TLS/SSL, tệp Schannel.dll, sử dụng CSP được liệt kê ở đây để tiến hành bảo mật truyền thông qua kết nối SSL hoặc TLS hỗ trợ cho Internet Explorer và bản ghi dịch vụ thông tin Internet (IIS).

Bạn có thể thay đổi tệp Schannel.dll hỗ trợ mã gói 1 và 2. Tuy nhiên, chương trình cũng phải hỗ trợ mã gói 1 và 2. Mật mã 1 và 2 không được hỗ trợ trong IIS 4.0, 5.0.

Bài viết này chứa thông tin cần thiết để cấu hình TLS/SSL bảo mật cung cấp cho Windows NT 4.0 Service Pack 6 và phiên bản mới hơn. Bạn có thể sử dụng Windows registry để kiểm soát sử dụng cụ thể SSL 3.0 hoặc TLS 1.0 mã bộ đối với các thuật toán mật mã hoá được hỗ trợ bởi nhà cung cấp mã cơ sở hoặc nhà cung cấp mã hóa nâng cao.

Lưu ý: Trong Windows NT 4.0 Service Pack 6, tệp Schannel.dll không sử dụng Microsoft sở DSS mã nhà cung cấp (Dssbase.dll) hoặc Microsoft DS/Diffie-Hellman nâng cao mã nhà cung cấp (Dssenh.dll).

Mã bộ

Cả SSL 3.0 (http://www.mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt) và TLS 1.0 (RFC2246) với dự thảo INTERNET "56-bit xuất mã bộ cho TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" cung cấp tuỳ chọn để sử dụng bộ mã khác nhau. Mỗi gói mã xác định khoá exchange, xác thực, mật mã hoá và MAC thuật toán được sử dụng trong một phiên SSL/TLS. Chú ý rằng khi bạn sử dụng RSA trao đổi khoá và thuật toán xác thực, thuật ngữ RSA xuất hiện chỉ một thời gian trong các định nghĩa mật mã tương ứng.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL bảo mật cung cấp hỗ trợ sau SSL 3.0 xác định "CipherSuite" khi bạn sử dụng nhà cung cấp mã cơ sở hoặc nhà cung cấp mã hóa nâng cao:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Lưu ý: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA không SSL_RSA_EXPORT1024_WITH_RC4_56_SHA được xác định trong văn bản SSL 3.0. Tuy nhiên, một số SSL 3.0 nhà cung cấp hỗ trợ. Điều này bao gồm Microsoft.

Windows NT 4.0 gói 6 Microsoft TLS/SSL bảo mật nhà cung cấp bản ghi dịch vụ cũng hỗ trợ sau xác định TLS 1.0 "CipherSuite" khi bạn sử dụng cơ sở cung cấp mật mã hoá hoặc nâng cao cung cấp mật mã hoá:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
Lưu ý: Bộ mã được xác định bằng cách sử dụng các byte đầu tiên "0x00" không riêng tư và được sử dụng để mở thông tin tương hợp về sau. Vì vậy, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL bảo mật cung cấp theo quy trình sử dụng các bộ mã như đã nêu trong SSL 3.0 và TLS 1.0 để đảm bảo tương tác.

Khoá kiểm nhập SCHANNEL cụ thể

Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ kiểm nhập. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ kiểm nhập không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ kiểm nhập trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ kiểm nhập, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 Cách sao lưu và khôi phục sổ kiểm nhập trong Windows
Lưu ý: Bất kỳ thay đổi nội dung của khoá mật mã hoá hoặc khoá BĂM có hiệu lực ngay lập tức mà không cần khởi động lại hệ thống.

SCHANNEL khoá

Khởi động Registry Editor (Regedt32.exe), và sau đó định vị khoá kiểm nhập sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols con

Để kích hoạt hệ thống sử dụng giao thức sẽ không được thương lượng theo mặc định (chẳng hạn như TLS 1.1 và TLS 1.2), thay đổi dữ liệu giá trị DWORD giá trị DisabledByDefault0x0 khoá kiểm nhập sau đây trong giao thức chính:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Cảnh báo Giá trị DisabledByDefault khoá kiểm nhập dưới khoá giao thức không chiếm ưu giá trị grbitEnabledProtocols được xác định trong cấu trúc SCHANNEL_CRED chứa dữ liệu cho khả năng Schannel.

SCHANNEL\Ciphers con

Mật mã khoá kiểm nhập dưới khoá SCHANNEL được sử dụng để kiểm soát việc sử dụng các thuật toán đối xứng như DES RC4. Dưới đây là các giá trị khoá kiểm nhập dưới khoá mật mã hoá.
SCHANNEL\Ciphers\RC4 128/128 con
RC4 128/128

Khoá con này đề cập đến 128-bit RC4.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Hoặc thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt. Khoá kiểm nhập này không áp dụng cho máy chủ xuất khẩu có một chứng chỉ SGC.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
DES bộ ba 168

Khoá kiểm nhập này đề cập đến 168 bit ba DES như đã nêu trong ANSI X9.52 và dự thảo FIPS 46-3. Khoá kiểm nhập này không áp dụng cho phiên bản xuất khẩu.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Hoặc thay đổi dữ liệu giá 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Lưu ý: Phiên bản Windows bản phát hành trước khi Windows Vista, khoá sẽ ba DES 168/168.
SCHANNEL\Ciphers\RC2 128/128 con
RC2 128/128

Khoá kiểm nhập này đề cập đến RC2 128-bit. Nó không áp dụng cho phiên bản xuất khẩu.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

SCHANNEL\Ciphers\RC4 64/128 con
RC4 64/128

Khoá kiểm nhập này đề cập đến 64-bit RC4. Nó không áp dụng cho phiên bản xuất khẩu (nhưng được sử dụng trong Microsoft Money).

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

SCHANNEL\Ciphers\RC4 56/128 con
RC4 56/128

Khoá kiểm nhập này đề cập tới 56-bit RC4.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 con
RC2 56/128

Khoá kiểm nhập này đề cập tới 56-bit RC2.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

SCHANNEL\Ciphers\RC2 56/56 con

DES 56

Khoá kiểm nhập này đề cập đến 56 bit DES như đã nêu trong FIPS 46-2. Thực hiện trong các tập tin Rsabase.dll và Rsaenh.dll được xác nhận FIPS 140-1 mã hóa mô-đun xác nhận chương trình.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 con

RC4 40/128

Điều này đề cập đến 40-bit RC4.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 con

RC2 40/128

Khoá kiểm nhập này đề cập đến 40-bit RC2.

Để cho phép thuật toán mật mã này, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0. Nếu bạn không cấu hình giá trị cho phép, mặc định được kích hoạt.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL con

NULL

Khoá kiểm nhập này có nghĩa là không mã hoá. theo mặc định, nó bị tắt.

Để tắt mã hóa (không cho phép tất cả các thuật toán mật mã), thay đổi dữ liệu giá trị DWORD giá trị cho phép 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0.

SCHANNEL/băm con

Khoá kiểm nhập băm trong phím SCHANNEL được sử dụng để kiểm soát việc sử dụng các thuật toán hashing như sa-1 và MD5. Dưới đây là các giá trị khoá kiểm nhập dưới khoá băm.

SCHANNEL\Hashes\MD5 con

MD5

Để cho phép hashing thuật toán này, thay đổi dữ liệu giá trị DWORD giá trị cho phép giá trị mặc định 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA con

SA

Khoá kiểm nhập này đề cập đến bảo mật của thuật toán băm (sa-1), như đã nêu trong FIPS 180-1. Thực hiện trong các tập tin Rsabase.dll và Rsaenh.dll được xác nhận FIPS 140-1 mã hóa mô-đun xác nhận chương trình.

Để cho phép hashing thuật toán này, thay đổi dữ liệu giá trị DWORD giá trị cho phép giá trị mặc định 0xffffffff. Ngoài ra, thay đổi dữ liệu giá trị DWORD để 0x0.

Vô hiệu hoá các thuật toán này có hiệu quả không cho phép sau:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms con

KeyExchangeAlgorithms khoá kiểm nhập dưới khoá SCHANNEL được sử dụng để kiểm soát sử dụng khoá trao đổi thuật toán chẳng hạn như RSA. Dưới đây là các giá trị khoá kiểm nhập dưới khoá KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS con
PKCS

Khoá kiểm nhập này đề cập đến RSA là các thuật toán chính xác thực và exchange.

Để cho phép RSA, thay đổi dữ liệu giá trị DWORD giá trị cho phép giá trị mặc định 0xffffffff. Ngoài ra, thay đổi dữ liệu giá 0x0.

Vô hiệu hoá RSA hiệu quả không cho phép chạy RSA tất cả SSL và TLS mã bộ hỗ trợ NT4 Windows SP6 Microsoft cung cấp bảo mật TLS/SSL.

FIPS 140-1 mã bộ

Bạn có thể sử dụng chỉ các SSL 3.0 hoặc TLS 1.0 mã bộ tương ứng với FIPS 46-3 hoặc FIPS 46-2 và FIPS 180-1 thuật toán Microsoft Base hoặc nâng cao cung cấp mật mã hoá.

Trong bài viết này, chúng tôi gọi họ là FIPS 140-1 mã bộ. Cụ thể, họ là như sau:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Sử dụng chỉ FIPS 140-1 mã bộ như được xác định ở đây và hỗ trợ của Windows NT 4.0 gói 6 Microsoft TLS/SSL bảo mật nhà cung cấp bản ghi dịch vụ cung cấp mã cơ bản hoặc nâng cao mã nhà cung cấp, cấu hình dữ liệu giá trị DWORD giá trị cho phép trong khoá kiểm nhập sau đây để 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Cấu hình dữ liệu giá trị DWORD giá trị cho phép trong khoá kiểm nhập sau đây để 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[không có trong phiên bản xuất khẩu]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Chính tính bảo mật bằng cách sử dụng FIPS 140-1 mã bộ

Quy trình sử dụng FIPS 140-1 mã ở SSL 3.0 khác với các quy trình sử dụng bộ FIPS 140-1 mã trong TLS 1.0.

Trong SSL 3.0, dưới đây là danh sách master_secret tính:

Trong TLS 1.0, dưới đây là danh sách master_secret tính:

trong đó:

Chọn tuỳ chọn sử dụng chỉ FIPS 140-1 mã bộ TLS 1.0:

Do sự khác biệt này, khách hàng có thể không cho phép sử dụng SSL 3.0 mặc dù bộ mã bộ, cho phép giới hạn chỉ tập con FIPS 140-1 mã bộ. Trong trường hợp đó, thay đổi dữ liệu giá trị DWORD giá trị cho phép 0x0 khoá kiểm nhập sau đây trong giao thức chính:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Cảnh báo Dữ liệu giá trị cho phép trong các khoá kiểm nhập dưới khoá giao thức sẽ ưu tiên hơn giá trị grbitEnabledProtocols được xác định trong cấu trúc SCHANNEL_CRED chứa dữ liệu cho khả năng Schannel. Dữ liệu giá trị mặc định cho phép 0xffffffff.

Tệp mẫu kiểm nhập

Hai ví dụ về nội dung tệp kiểm nhập để cấu hình được cung cấp trong bài viết này. Họ là Export.reg và không export.reg.

Trên máy tính đang chạy Windows NT 4.0 Service Pack 6 với Rasbase.dll xuất khẩu và tệp Schannel.dll, chạy Export.reg để đảm bảo rằng chỉ TLS 1.0 FIPS yếu bộ được sử dụng máy tính.

Trên máy tính đang chạy Windows NT 4.0 Service Pack 6 bao gồm Rasenh.dll không xuất khẩu và tệp Schannel.dll, chạy không export.reg để đảm bảo rằng chỉ TLS 1.0 FIPS yếu bộ được sử dụng máy tính.

Tệp Schannel.dll nhận ra bất kỳ thay đổi nào trong khoá kiểm nhập SCHANNEL, bạn phải khởi động lại máy tính.

Trở về thiết đặt kiểm nhập mặc định, xoá khoá kiểm nhập SCHANNEL và tất cả mọi thứ trong đó. Nếu không có các khoá kiểm nhập, Schannel.dll xây dựng lại các phím khi bạn khởi động lại máy tính.
Các phiên bản mới hơn của Windows
Khoá kiểm nhập và nội dung trong Windows Server 2008, Windows 7 và Windows Server 2008 R2 tìm khoá kiểm nhập trong Windows Server 2003 và các phiên bản khác. Vị trí kiểm nhập trong Windows 7, Windows Server 2008 và Windows Server 20008 R2 và nội dung mặc định là như sau:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001

Nội dung này được hiển thị trong tiêu chuẩn REGEDIT xuất định dạng.

Lưu ý:
  • khoá mật mã hoá chứa không có giá trị hoặc con.
  • Phím CipherSuites phải có không có giá trị hoặc con.
  • Phím băm chứa không có giá trị hoặc con.
  • Phím KeyExchangeAlgorithms phải có không có giá trị hoặc con.
  • Giao thức chính chứa con và giá trị sau:
    • Giao thức
      • SSL 2.0
        • Khách hàng
          • DisabledByDefault REG_DWORD 0x00000001 (giá trị)
Windows Server 2008 hỗ trợ các giao thức sau:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 và Windows 7 hỗ trợ các giao thức sau:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
Giao thức này có thể bị vô hiệu hoá cho máy chủ hoặc máy tính khách kiến trúc. Điều này có nghĩa là giao thức có thể được bỏ qua hoặc vô hiệu hoá như sau:
  • Giao thức có thể được bỏ qua từ danh sách các giao thức hỗ trợ được bao gồm trong các ứng dụng khách chào khi kết nối SSL Bắt đầu.
  • Giao thức có thể bị tắt trên máy chủ để các máy chủ sẽ không phản hồi bằng cách sử dụng giao thức ngay cả khi khách hàng yêu cầu SSL 2.0.
Con máy tính khách và máy chủ chỉ mỗi giao thức. Bạn có thể vô hiệu hoá giao thức cho máy tính khách hoặc máy chủ. Tuy nhiên, vô hiệu hóa mật mã, băm hoặc CipherSuites ảnh hưởng đến máy tính khách và máy chủ. Bạn sẽ phải tạo khoá con cần thiết trong giao thức chính để đạt điều này. Ví dụ:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Sau khi con được tạo, sổ kiểm nhập được hiển thị như sau:



theo mặc định, máy tính khách SSL 2.0 bị tắt trong Windows Server 2008, Windows Server 2008 R2 và Windows 7. Điều này có nghĩa là máy tính sẽ không sử dụng SSL 2.0 để khởi động một ứng dụng khách xin chào. Vì vậy, kiểm nhập được hiển thị như sau:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = DWORD: 00000001
Chính xác như mật mã và KeyExchangeAlgorithms, giao thức có thể được kích hoạt hoặc vô hiệu hoá. Để kích hoạt hoặc vô hiệu hoá giao thức như SSL 2.0, đặt giá trị sau trong sổ kiểm nhập hệ thống trên máy tính khách và máy chủ.

Lưu ý: Để kích hoạt hoặc vô hiệu hoá SSL 2.0, bạn phải bật hoặc tắt máy tính khách và máy chủ.

Vị trí kiểm nhập SSL 2.0 trên máy tính là như sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Vị trí kiểm nhập SSL 2.0 trên máy tính là như sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Để cho phép SSL 2.0, hãy làm theo các bước sau:
  1. Trên máy tính khách, đặt giá trị DisabledByDefault DWORD 00000000.
  2. Trên máy tính, đặt giá trị DWORD bật 0xffffffff.
  3. Khởi động lại máy tính.
Để vô hiệu hoá SSL 2.0, hãy làm theo các bước sau:
  • Trên máy tính khách, đặt giá trị DisabledByDefault DWORD 00000001.
  • Trên máy tính, đặt giá trị DWORD bật 00000000.
  • Khởi động lại máy tính.

Lưu ý:
  • Sử dụng các cho phép = 0x0 cài đặt chuyên biệt kiểm nhập vô hiệu hoá giao thức. Thiết đặt này không thể được ghi đè và cho phép cấu trúc grbitEnabledProtocols .
  • Sử dụng thiết đặt kiểm nhập DisabledByDefault chỉ ngăn không cho giao thức phát hành chào lệnh qua giao thức khi kết nối SSL với máy chủ được Bắt đầu. Thiết đặt này có thể được ghi đè và do đó được sử dụng nếu nó được đưa vào cấu trúc grbitEnabledProtocols .
  • Để ngăn chặn một giao thức được sử dụng, sử dụng các cho phép = 0x0 cài đặt chuyên biệt.
SP6

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 245030 - Xem lại Lần cuối: 01/15/2016 07:33:00 - Bản sửa đổi: 8.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtvi
Phản hồi