如何限制使用特定的密碼編譯演算法及 Schannel.dll 中的通訊協定

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:245030
結論
本文說明如何限制使用特定的密碼編譯演算法和 Schannel.dll 檔案中的通訊協定。這項資訊也適用於獨立軟體廠商 (ISV) 應用程式所寫入的 Microsoft 密碼編譯 API (CAPI) 中。

注意將套用到 Windows Server 2008 及較新版本的 Windows 登錄機碼,請參閱"的較新版本的 Windows 」 一節。
其他相關資訊
下列密碼編譯服務提供者 (Csp) 所隨附 Windows NT 4.0 Service Pack 6 所獲得的憑證 FIPS 140-1 的密碼編譯驗證:
  • Microsoft 基底密碼編譯提供者 (Rsabase.dll)
  • Microsoft 增強型密碼編譯提供者 (Rsaenh.dll) (非匯出版本)
Microsoft TLS/SSL 安全性提供者,Schannel.dll 檔案中,使用透過 SSL 或 TLS 進行安全通訊,在 Internet Explorer 」 和 「 網際網路資訊服務 (IIS) 支援此處所列的 Csp。

您可以變更的 Schannel.dll 檔案,才能支援 1 和 2 的加密套件。不過,程式也必須支援 1 和 2 的加密套件。在 IIS 4.0 和 5.0 不支援加密套件 1 和 2。

本文包含設定 TLS/SSL 安全性提供者的 Windows NT 4.0 Service Pack 6 和更新版本所需的資訊。您可以使用 Windows 登錄,來控制特定 SSL 3.0 或 TLS 1.0 加密套件相對於基底密碼編譯提供者或增強型密碼編譯提供者支援的密碼編譯演算法使用。

注意在 Windows NT 4.0 Service Pack 6 中,Schannel.dll 檔案並不使用 Microsoft 基底 DSS 密碼編譯提供者 (Dssbase.dll) 或 Microsoft DS/Diffie-hellman 增強型密碼編譯提供者 (Dssenh.dll)。

加密套件

這兩個 SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) 和網際網路草稿"56 位元匯出加密套件的 TLS draft-ietf-tls-56-bit-ciphersuites-00.txt"的 TLS 1.0 (RFC2246) 會提供要使用不同的加密套件的選項。金鑰交換、 驗證、 加密和 SSL/TLS 工作階段中所使用的 MAC 演算法,就會決定每個加密套件。請注意當您使用 RSA 為金鑰交換和驗證演算法時,一詞RSA出現在對應的加密套件定義中的一次。

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者支援下列 SSL 3.0 定義"CipherSuite",當您使用基底密碼編譯提供者] 或 [增強型密碼編譯提供者:
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00,0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00,0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00,0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00,0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00,0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00,0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00,0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00,0x64}
注意SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA 和 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA 都沒有定義在 [SSL 3.0 的文字。然而,許多的 SSL 3.0 廠商可支援它們。這包括 Microsoft。

當您使用的基底密碼編譯提供者或增強型密碼編譯提供者時,Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者也支援下列 TLS 1.0 定義"CipherSuite":

TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00,0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00,0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00,0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00,0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00,0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00,0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00,0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00,0x64}
注意加密套件所定義的使用"0x00"的第一個位元組是非私用,而且是開啟的互通性通訊。因此,Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者會遵循這些加密套件使用 SSL 3.0 和 TLS 1.0 中所指定,以確保互通性的程序。

Schannel 特定登錄機碼

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
注意破解密碼的索引鍵或雜湊機碼的內容的任何變更立即生效,而不需重新啟動系統。

SCHANNEL 機碼

啟動登錄編輯器 (Regedt32.exe),然後再找出下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols 子機碼

若要啟用系統,才能使用將不會交涉,預設情況下 (例如 TLS 1.1 和 TLS 1.2) 通訊協定,變更 DWORD 數值資料的DisabledByDefault值為0x0下列的登錄機碼中,通訊協定機碼下:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
警告通訊協定機碼下的登錄機碼中的 DisabledByDefault 值並不會定義在包含 Schannel 認證資料的 SCHANNEL_CRED 結構中的 grbitEnabledProtocols 值高於。

SCHANNEL\Ciphers 子機碼

SCHANNEL 機碼下的破解密碼的登錄機碼用來控制例如 DES 和 RC4 對稱演算法的使用中。以下是有效的登錄機碼,在破解密碼的機碼之下。
SCHANNEL\Ciphers\RC4 128/128 子機碼
RC4 128/128

這個子機碼指的是 128 位元 RC4。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.或者,您也可以變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。這個登錄機碼不會套用到匯出的伺服器,並沒有 sgc 者憑證。

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
三重 DES 168

這個登錄機碼指的是 168 位元 ANSI X9.52 和草稿 FIPS 46-3 中所指定的三重 DES。這個登錄機碼並不適用於匯出版本。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.或者,您也可以變更 DWORD 資料,以 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
注意在 Windows Vista 之前版本的 Windows 版本,這個金鑰應該為168 168 方式三重 DES
SCHANNEL\Ciphers\RC2 128/128 子機碼
RC2 128/128

這個登錄機碼指的是 128 位元 RC2。它並不適用於匯出版本。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

SCHANNEL\Ciphers\RC4 64/128 子機碼
RC4 64/128

這個登錄機碼指的是 64 位元 RC4。它並不適用於匯出版本 (但可在 Microsoft Money 中)。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

SCHANNEL\Ciphers\RC4 56/128 子機碼
RC4 56/128

這個登錄機碼指的是 56 位元 RC4。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

有效地停用此演算法不允許下列:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 子機碼
RC2 56/128

這個登錄機碼指的是 56 位元 RC2。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

SCHANNEL\Ciphers\RC2 56/56 子機碼

DES 56

這個登錄機碼指的是 FIPS 46-2 中所指定的 56 位元 DES。它的 Rsabase.dll 和 Rsaenh.dll 檔案中的實作會驗證在 FIPS 140-1 密碼編譯模組驗證程式。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 子機碼

RC4 40/128

這是指 40 位元 RC4。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 子機碼

RC2 40/128

這個登錄機碼指的是 40 位元 RC2。

若要允許這個加密演算法,變更 [DWORD 值的資料要啟用值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.如果您停用 Enabled 值或不設定它,則預設為啟用。

有效地停用此演算法不允許下列:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL 子機碼

NULL

這個登錄機碼表示不加密。根據預設,它已關閉。

若要關閉加密 (不允許所有的密碼演算法) 的 DWORD 數值資料,要啟用值的變更 0xffffffff.否則,請變更 DWORD 數值資料 0x0.

雜湊 SCHANNEL/子機碼

SCHANNEL 機碼下的雜湊登錄機碼用來控制例如 sha-1 和 MD5 雜湊演算法的使用中。以下是有效的登錄機碼,在雜湊機碼之下。

SCHANNEL\Hashes\MD5 子機碼

MD5

若要允許這個雜湊演算法,將 DWORD 數值資料的 Enabled 值變更為預設值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.

有效地停用此演算法不允許下列:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA 子機碼

SHA

這個登錄機碼指的是安全雜湊演算法 (sha-1),指定在 FIPS 180-1。它的 Rsabase.dll 和 Rsaenh.dll 檔案中的實作會驗證在 FIPS 140-1 密碼編譯模組驗證程式。

若要允許這個雜湊演算法,將 DWORD 數值資料的 Enabled 值變更為預設值 0xffffffff.否則,請變更 DWORD 數值資料 0x0.

有效地停用此演算法不允許下列:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms 子機碼

SCHANNEL 機碼下的 KeyExchangeAlgorithms 登錄機碼用來控制例如 RSA 金鑰交換演算法的使用中。以下是有效的登錄機碼,在 KeyExchangeAlgorithms 機碼之下。

SCHANNEL\KeyExchangeAlgorithms\PKCS 子機碼
PKCS

這個登錄機碼稱之為 RSA 金鑰的交換和驗證演算法。

若要允許 RSA,將 DWORD 數值資料的 Enabled 值變更為預設值 0xffffffff.否則,將 DWORD 資料變更為 0x0.

有效地停用 RSA 不允許所有 RSA 架構 SSL 及 TLS 加密套件 Windows NT4 SP6 Microsoft TLS/SSL 安全性提供者支援。

FIPS 140-1 加密套件

若要使用的只有那些 SSL 3.0 或 TLS 1.0 加密套件 FIPS 46-3 或 FIPS 46-2 和 fips 180 1 由 Microsoft 或增強型密碼編譯提供者提供對應。

本篇文章中,我們稱它們為 FIPS 140-1 加密套件。具體來說,它們是,如下所示:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
FIPS 140-1 加密套件所定義在這裡使用和 Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL 安全性提供者支援與基底密碼編譯提供者或增強型密碼編譯提供者,在下列登錄機碼,以設定 DWORD 數值資料的 Enabled 值 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
並設定下列的登錄機碼,以 DWORD 數值資料的 Enabled 值 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168"[不適用於匯出版本]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

使用 FIPS 140-1 加密套件的主要秘密計算

使用 FIPS 140-1 cipher SSL 3.0 中的套件使用 TLS 1.0 的 FIPS 140-1 加密套件的程序與不同的程序。

在 SSL 3.0 中,以下是定義 master_secret 計算:

在 TLS 1.0 中,以下是定義 master_secret 計算:

位置:

選取要使用 TLS 1.0 的 FIPS 140-1 加密套件的選項:

因為此差異性,客戶可能想要禁止使用 SSL 3.0,即使允許的加密套件就會受到限制 FIPS 140-1 加密套件的子集。在此情況下,變更 [DWORD 值的資料要啟用值 0x0 在 [通訊協定機碼下的下列登錄機碼:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
警告已啟用的數值資料,這些通訊協定機碼下的登錄機碼優先於在包含 Schannel 認證資料的 SCHANNEL_CRED 結構中定義的 grbitEnabledProtocols 值。預設啟用的數值資料是 0xffffffff.

範例登錄檔

發行項的這一節中,會提供兩個設定的登錄檔案內容的範例。它們是 Export.reg 和非 export.reg。

在電腦中執行 Windows NT 4.0 Service Pack 6 與可匯出的 Rasbase.dll 和 Schannel.dll 檔案,執行 Export.reg,以確定 TLS 1.0 FIPS 密碼套件由電腦。

正在執行 Windows NT 4.0 Service Pack 6 的電腦] 中包含非可匯出的 Rasenh.dll 和 Schannel.dll 檔案,以確定 TLS 1.0 FIPS 密碼套件的非 export.reg 的執行由電腦。

Schannel.dll 檔案,以辨識 SCHANNEL 登錄機碼下的任何變更,您必須重新啟動電腦。

若要回復為預設值的登錄設定,請刪除 SCHANNEL 登錄機碼,並在它之下的所有項目。如果這些登錄機碼不存在,Schannel.dll 會重建索引鍵,當您重新啟動電腦。
更高版本的 Windows
登錄機碼和 Windows Server 2008,Windows 7 中,Windows Server 2008 R2 它們的內容看起來不同於 Windows Server 2003 和舊版中的登錄機碼項目。Windows 7,Windows Server 2008,和 Windows Server 20008 R2 以及它的預設內容中的登錄位置如下所示:
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel
"EventLogging"= dword:00000001
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001

此內容會顯示在標準 REGEDIT 匯出格式。

注意事項
  • 無值或子機碼,應包含破解密碼的金鑰。
  • 無值或子機碼,應包含 CipherSuites 機碼。
  • 無值或子機碼,應包含雜湊索引鍵。
  • 無值或子機碼,應包含 KeyExchangeAlgorithms 機碼。
  • 下列子機碼和值,應包含通訊協定機碼:
    • 通訊協定
      • SSL 2.0
        • 用戶端
          • DisabledByDefault REG_DWORD 0x00000001 (值)
Windows Server 2008 支援下列通訊協定:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 和 Windows 7 會支援下列通訊協定:
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
可以停用這些通訊協定,為伺服器或用戶端架構。這表示可省略的通訊協定,或停用,如下所示:
  • 從支援的通訊協定啟動 SSL 連線時,在用戶端 Hello 所包含的清單,才能省略通訊協定。
  • 可以在伺服器上停用通訊協定,使伺服器將不會使用該通訊協定,即使在用戶端要求 SSL 2.0 的方式回應。
用戶端和伺服器的子機碼指定每個通訊協定。您可以關閉用戶端或伺服器的通訊協定。不過,停用加密、 雜湊或 CipherSuites,會影響用戶端和伺服器的側邊。您必須建立通訊協定機碼,為了達成這個目的所需的子機碼。例如:
[] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 3.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.0\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.1\Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2\Client
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS] 1.2\Server
建立子機碼之後,登錄隨即出現,如下所示:



根據預設,用戶端 SSL 2.0 中已停用 Windows Server 2008,Windows Server 2008 R2,Windows 7。這表示電腦將不使用 SSL 2.0 啟動用戶端 Hello。因此,登錄就會顯示,如下所示:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL] 2.0\Client
"DisabledByDefault"= dword:00000001
完全一樣破解密碼和 KeyExchangeAlgorithms,可以啟用或停用通訊協定。若要啟用或停用的通訊協定,例如 SSL 2.0,請在用戶端和伺服器上的系統登錄中設定下列值。

注意若要啟用或停用 SSL 2.0,您必須啟用或停用該用戶端電腦和伺服器電腦上。

SSL 2.0 用戶端電腦上的登錄位置如下所示:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

SSL 2.0 伺服器電腦上的登錄位置如下所示:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

若要啟用 SSL 2.0,請依照下列步驟執行:
  1. 在用戶端電腦,會將 DisabledByDefault DWORD 值設 00000000。
  2. 在伺服器上的電腦,會將啟用的 DWORD 值設 0xffffffff。
  3. 重新啟動電腦。
若要停用 SSL 2.0,請依照下列步驟執行:
  • 在用戶端電腦,會將 DisabledByDefault DWORD 值設 00000001。
  • 在伺服器上的電腦,會將啟用的 DWORD 值設 00000000。
  • 重新啟動電腦。

注意事項
  • 使用啟用 = 0x0登錄設定會停用通訊協定。無法覆寫這個設定,並在grbitEnabledProtocols結構中啟用。
  • 使用DisabledByDefault的登錄設定只能防止該通訊協定透過該通訊協定發出Hello命令,啟動與伺服器的 SSL 連線。這項設定可以覆寫,而且如果它包含在grbitEnabledProtocols結構,因此使用。
  • 若要防止使用一種通訊協定,請使用啟用 = 0x0設定。
sp6

警告:本文為自動翻譯

內容

文章識別碼:245030 - 最後檢閱時間:01/15/2016 07:34:00 - 修訂: 11.0

Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition (家用版), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbenv kbinfo kbmt KB245030 KbMtzh
意見反應