如何限制使用特定的加密算法和 Schannel.dll 中的协议

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 245030
概要
本文介绍如何限制使用特定的加密算法和 Schannel.dll 文件中的协议。此信息还适用于独立软件供应商 (ISV) 编写的应用程序的 Microsoft 加密 API (CAPI)。

注意:适用于 Windows Server 2008 和更高版本的 Windows 的注册表项,请参阅"为更高版本的 Windows"一节。
更多信息
以下加密服务提供程序 (Csp) 所包含的 Windows NT 4.0 服务包 6 所获得的证书 FIPS 140-1 加密验证:
  • Microsoft 基础加密提供程序 (Rsabase.dll)
  • Microsoft 增强的加密提供程序 (Rsaenh.dll) (非导出版本)
Microsoft TLS/SSL 安全提供程序,Schannel.dll 文件中,使用此处列出其支持 Internet Explorer 和 Internet Information Services (IIS) 中通过 SSL 或 TLS 进行安全通信的 Csp。

您可以更改要支持的密码套件 1 和 2 的 Schannel.dll 文件。但是,该程序还必须支持 1 和 2 的密码套件。IIS 4.0 和 5.0 中不支持的密码套件 1 和 2。

本文包含必要的信息来配置 TLS/SSL 安全提供程序的 Windows NT 4.0 服务包 6 或更高版本。可以使用 Windows 注册表来控制特定 SSL 3.0 或 TLS 1.0 密码套件,相对于基本的加密提供程序或增强的加密提供程序所支持的加密算法的使用。

注意:在 Windows NT 4.0 服务包 6,Schannel.dll 文件不使用 Microsoft 基础 DSS 加密提供程序 (Dssbase.dll) 或 Microsoft DS/Diffie-hellman 增强的加密提供程序 (Dssenh.dll)。

密码套件

这两个 SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt),并与 INTERNET 草稿"56 位导出密码套件的 TLS draft-ietf-tls-56-bit-ciphersuites-00.txt"TLS 1.0 (RFC2246) 提供选项,以使用不同的密码套件。每个密码套件确定密钥交换、 身份验证、 加密和 SSL/TLS 会话中使用的 MAC 算法。请注意,当您使用 RSA 密钥交换和身份验证算法,术语RSA出现在相应的密码套件定义中只有一次。

Windows NT 4.0 服务包 6 Microsoft TLS/SSL 安全提供程序支持以下 SSL 3.0 定义"弱",当您使用基本的加密提供程序或增强的加密提供程序:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00,0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00,0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00,0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00,0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00,0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00,0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00,0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00,0x64}
注意:SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA 和 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA 都不是在 SSL 3.0 文本中定义的。但是,几个 SSL 3.0 供应商支持它们。这包括 Microsoft。

Windows NT 4.0 服务包 6 Microsoft TLS/SSL 安全提供程序还支持以下 TLS 1.0 定义"弱",当您使用基本的加密提供程序或增强的加密提供程序:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00,0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00,0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00,0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00,0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00,0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00,0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00,0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00,0x64}
注意:通过使用"0x00"的第一个字节定义密码套件为非私有和用于打开可互操作的通信。因此,Windows NT 4.0 服务包 6 Microsoft TLS/SSL 安全提供程序之后使用 SSL 3.0 和 TLS 1.0 中指定这些密码套件,以确保互操作性的过程。

Schannel 特定的注册表项

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
注意:对分组密码键或哈希键的内容的任何更改会立即生效,而无需重新启动系统。

SCHANNEL 键

启动注册表编辑器 (Regedt32.exe),然后找到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols 子键

若要使系统能够使用的协议,将不在默认情况下 (如 TLS 1.1 和 TLS 1.2) 协商,更改为0x0协议项下的以下注册表项中的DisabledByDefault值的 DWORD 值数据:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
警告协议项下的注册表项中的 DisabledByDefault 值不会在定义中包含的数据,则 Schannel 凭据的 SCHANNEL_CRED 结构的 grbitEnabledProtocols 值优先。

SCHANNEL\Ciphers 子键

下 SCHANNEL 密钥的密码注册表项用于控制使用的对称算法 DES 和 RC4 等。以下是有效的注册表项,该项下的密码。
SCHANNEL\Ciphers\RC4 128/128 子项
RC4 128/128

此子项是指 128 位 RC4。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.或者,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。此注册表项不适用于没有 SGC 证书导出服务器。

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
三重 DES 168

此注册表项是指在 ANSI X9.52 和草稿 FIPS 46 3 中指定的 168 位三重 DES。此注册表项不适用于导出版本。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.或者,更改为双字节数据 0x0.如果您不配置启用值,默认情况下启用。

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
注意:对于之前 Windows Vista 版本的 Windows 的版本,需要三重 DES 168/168项。
SCHANNEL\Ciphers\RC2 128/128 子项
RC2 128/128

128 位 RC2 引用此注册表项。它不适用于导出版本。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

SCHANNEL\Ciphers\RC4 64/128 子项
RC4 64/128

64 位 RC4 引用此注册表项。它不适用于导出版本 (但在 Microsoft 资金使用)。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

SCHANNEL\Ciphers\RC4 56/128 子项
RC4 56/128

56 位 RC4 引用此注册表项。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

有效地禁用此算法中不允许以下功能:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 子项
RC2 56/128

56 位 RC2 引用此注册表项。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

SCHANNEL\Ciphers\RC2 56/56 子项

DES 56

此注册表项引用指定 FIPS 46 2 56 位 DES。FIPS 140-1 加密模块验证计划下验证它的 Rsabase.dll 和 Rsaenh.dll 文件中的实现。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 子项

RC4 40/128

这指的是 40 位 RC4。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 子项

RC2 40/128

40 位 RC2 引用此注册表项。

若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL 子键

空值

此注册表项意味着没有加密。默认情况下,它已关闭。

若要关闭加密功能 (不允许所有的密码算法),更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.

哈希 SCHANNEL/子项

SCHANNEL 项下的哈希注册表项用于控制如 sha-1 和 MD5 哈希算法的使用。以下是有效的注册表项,该项下的哈希值。

SCHANNEL\Hashes\MD5 子键

MD5

若要允许此哈希算法,将启用值的 DWORD 值数据更改为默认值 0xffffffff.否则,更改到的 DWORD 值数据 0x0.

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA 子键

SHA

此注册表项将安全哈希算法 (sha-1),称为指定 FIPS 180-1 中。FIPS 140-1 加密模块验证计划下验证它的 Rsabase.dll 和 Rsaenh.dll 文件中的实现。

若要允许此哈希算法,将启用值的 DWORD 值数据更改为默认值 0xffffffff.否则,更改到的 DWORD 值数据 0x0.

有效地禁用此算法中不允许以下功能:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

频道/KeyExchangeAlgorithms 子项

SCHANNEL 项下的 KeyExchangeAlgorithms 注册表项用于控制如 RSA 密钥交换算法的使用。以下是有效的注册表项,该项下的 KeyExchangeAlgorithms。

SCHANNEL\KeyExchangeAlgorithms\PKCS 子键
PKCS

此注册表项将 RSA 称为密钥交换和身份验证算法。

要使 RSA,将启用值的 DWORD 值数据更改为默认值 0xffffffff.否则,更改到的 dword 值数据 0x0.

有效地禁用 RSA 禁止所有基于 RSA 的 SSL 和 TLS 密码套件由 Windows NT4 SP6 Microsoft TLS/SSL 安全提供支持。

FIPS 140-1 密码套件

您可以使用仅那些 SSL 3.0 或 TLS 1.0 密码套件,分别对应于 FIPS 46 3 或 FIPS 46 2 FIPS 180-1 算法由 Microsoft 的文章或增强的加密提供程序提供。

在本文中,我们称它们为 FIPS 140-1 的密码套件。具体而言,它们是,如下所示:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
仅使用 FIPS 140-1 密码套件的定义使用此处并支持 Windows NT 4.0 服务包 6 Microsoft TLS/SSL 安全提供程序与基本加密提供程序或增强的加密提供程序,为下面的注册表项中配置启用值的 DWORD 值数据 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
并为以下注册表项中配置启用值的 DWORD 值数据 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[不适用于导出版本]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

通过使用 FIPS 140-1 密码套件的主秘密计算

使用 SSL 3.0 中的套件不同于 TLS 1.0 中使用 FIPS 140-1 的密码套件的过程的 FIPS 140-1 加密过程。

在 SSL 3.0 中,下面是定义 master_secret 计算:

在 TLS 1.0 中,下面是定义 master_secret 计算:

其中:

选择 TLS 1.0 中使用仅 FIPS 140-1 密码套件的选项:

由于这一差别,客户可能希望禁止使用 SSL 3.0,即使密码套件允许的集被限制为仅 FIPS 140-1 密码套件的子集。在这种情况下,更改到已启用值的 DWORD 值数据 0x0 在协议项下的以下注册表项:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
警告在这些协议项下的注册表项启用数值数据优先于包含 Schannel 凭据数据的 SCHANNEL_CRED 结构中定义的 grbitEnabledProtocols 值。默认启用数值数据 0xffffffff.

注册表文件示例

文章的这一部分中提供了两个配置的注册表文件内容的示例。它们是 Export.reg 和非 export.reg。

在一台计算机,运行 Windows NT 4.0 服务包 6 可导出 Rasbase.dll 和 Schannel.dll 文件,运行 Export.reg,以确保仅使用 TLS 1.0 FIPS 密码套件由计算机。

计算机正在运行 Windows NT 4.0 服务包 6 中,其中包括不能出口的 Rasenh.dll 和 Schannel.dll 文件,运行非-export.reg,以确保仅使用 TLS 1.0 FIPS 密码套件由计算机。

对于 Schannel.dll 文件来识别 SCHANNEL 注册表项下的任何更改,必须重新启动计算机。

若要返回到默认的注册表设置,请删除 SCHANNEL 注册表项以及其下的所有内容。如果这些注册表项不存在,Schannel.dll 重新生成密钥,当您重新启动计算机。
对于以后版本的 Windows
注册表项和 Windows Server 2008,Windows 7 和 Windows Server 2008 R2 中的内容看起来不同于 Windows Server 2003 和早期版本中的注册表项。在 Windows 7,Windows Server 2008 中,Windows Server 20008 R2 和其默认内容的注册表位置如下所示:
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel
"EventLogging"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001

此内容将显示在标准注册表编辑器导出格式。

备注:
  • 分组密码密钥应包含任何子项或值。
  • 无值或子项应包含密码组密钥。
  • 无值或子项应包含哈希键。
  • KeyExchangeAlgorithms 键应包含任何子项或值。
  • 该协议密钥应包含下列子项和值:
    • 协议
      • SSL 2.0
        • 客户端
          • DisabledByDefault REG_DWORD 0x00000001 (值)
Windows Server 2008 支持下列协议:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 和 Windows 7 支持下列协议:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
对于服务器或客户端体系结构,可以禁用这些协议。这意味着协议可以省略或被禁用,如下所示:
  • 从列表中支持的协议中包含的客户端 Hello 开始 SSL 连接时,才能省略协议。
  • 可以在服务器上禁用协议,以便通过该协议,即使客户端请求 SSL 2.0 服务器将响应。
客户端和服务器的子键将指定每个协议。您可以为客户端或服务器禁用的协议。但是,禁用密码、 哈希或密码组会影响客户端和服务器端。您必须创建为此协议项下所需的子项。例如:
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1 版]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2\Server
创建子项后,注册表显示如下:



默认情况下,Windows Server 2008,Windows Server 2008 R2,而 Windows 7 中禁用客户端 SSL 2.0。这意味着计算机将不使用 SSL 2.0 启动客户端 Hello。因此,注册表将如下显示:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001
完全像编码器和 KeyExchangeAlgorithms,可以启用或禁用协议。若要启用或禁用 SSL 2.0 等协议,请在客户端和服务器的系统注册表中设置下列值。

注意:若要启用或禁用 SSL 2.0,必须启用或禁用该客户端计算机和服务器计算机上。

对于 SSL 2.0 在客户端计算机上的注册表位置如下所示:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

对于 SSL 2.0 服务器计算机上的注册表位置如下所示:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

若要启用 SSL 2.0,请执行以下步骤:
  1. 在客户端计算机上,将 DisabledByDefault DWORD 值设置为 00000000。
  2. 在服务器计算机上,将启用 DWORD 值设置为 0xffffffff。
  3. 重新启动计算机。
要禁用 SSL 2.0,请执行以下步骤:
  • 在客户端计算机上,将 DisabledByDefault DWORD 值设置为 00000001。
  • 在服务器计算机上,将启用 DWORD 值设置为 00000000。
  • 重新启动计算机。

备注:
  • 使用Enabled = 0x0注册表项设置禁用协议。此设置不能被覆盖,并且在grbitEnabledProtocols结构中启用。
  • 使用DisabledByDefault注册表设置只是防止该协议启动与服务器的 SSL 连接时,通过该协议颁发Hello命令。此设置可以覆盖,因此如果它包括在grbitEnabledProtocols结构中使用。
  • 若要防止使用一种协议,使用Enabled = 0x0设置。
sp6

警告:本文已自动翻译

属性

文章 ID:245030 - 上次审阅时间:01/15/2016 07:33:00 - 修订版本: 11.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 企业版, Microsoft Windows NT Workstation 4.0 开发员版

  • kbenv kbinfo kbmt KB245030 KbMtzh
反馈