結論
本文說明如何在 Windows Server 2003 Service Pack 2 (SP2) 中為更強固的進階加密標準 (AES) 新增支援,以及如何停用較弱的加密。
其他相關資訊
步驟 1: 若要在 Windows Server 2003 SP2 中為更強固的 AES 加密套件新增支援,請套用下列知識庫文章中說明的更新。
948963 有可用的更新可為 Windows Server 2003 中的 TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA 和 TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA AES 加密套件新增支援
步驟 2: 若要停用 Windows Server 2003 SP2 中較弱的加密 (包括「匯出」密碼),請依照下列步驟執行。
重要 這個章節、方法或工作包含修改登錄的步驟。然而,如果您不當地修改登錄,可能會發生嚴重的問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,修改登錄之前,請務必將其備份。那麼您便可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
322756如何在 Windows 中備份及還原登錄
如果要編輯這些登錄值,請依照下列步驟執行:
-
按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。
-
在登錄中找出下列子機碼並按一下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
-
在 [編輯] 功能表中,指向 [新增],然後按一下 [機碼]。根據下列加密名稱輸入機碼的名稱:
DES 56/56
NULL
RC2 40/128
RC2 56/128
RC2 56/56
RC4 40/128
RC4 56/128
RC4 64/128 -
在 [編輯] 功能表上,指向 [新增],再按一下 [DWORD 值]。
-
輸入 Enabled 作為 DWORD 的名稱,然後按下 ENTER。
-
用滑鼠右鍵按一下 [Enabled],然後按一下 [修改]。
-
在 [數值資料] 方塊中輸入 00000000,然後按一下 [確定]。
-
在 [檔案] 功能表上,按一下 [結束],結束 [登錄編輯程式]。
注意 重複這些步驟以停用每一個較弱的加密。
依偏好設定排列,您成功執行這些步驟後,可使用的加密套件如下:
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
TLS_RSA_WITH_AES_256_CBC_SHA
-
TLS_RSA_WITH_RC4_128_MD5
-
TLS_RSA_WITH_RC4_128_SHA
-
TLS_RSA_WITH_3DES_EDE_CBC_SHA
-
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA