Das korrekte Einrichten Ihres Servers unter Windows ist wichtig, wenn Sie sicherstellen möchten, dass Sie tatsächlich die Verschlüsselungsalgorithmen verwenden, um Daten zu schützen, die vom Client (Webbrowser) zum Server und wieder zurück übertragen werden.
Auf dieser Seite finden Sie einige grundlegende Informationen zur Auswahl der richtigen Cipher Suite für Ihren Windows Server sowie zur Einrichtung. Es ist eine gute Idee, nur die zu aktivierenden zu aktivieren und den Rest zu deaktivieren. Beachten Sie auch, dass SSL 2.0 und andere möglicherweise nicht standardmäßig aktiviert sind.
Grundlegendes zu Cipher Suites und Schannel.dll
Bevor Sie wissen, was Sie tun müssen, um zu ändern, welche Cipher Suites verwendet werden und welche kryptografischen Algorithmen und Protokolle verwendet werden, werden wir kurz die Datei Schannel.dll erläutern, einschließlich der Verwendung von Cipher Suites, um zu bestimmen, welche Sicherheitsprotokolle verwendet werden sollen . Dies ist in der Registrierung für Windows eingerichtet und nicht schwierig. Die Anweisungen variieren geringfügig, je nachdem, welches Betriebssystem und welchen Webserver Sie verwenden.
Was ist Schannel.dll?
Einfach ausgedrückt ist Schannel.dll eine Bibliothek, die das wichtigste Microsoft ist TLS/SSL-Sicherheitsanbieter. Es steht für Secure Channel und wird von Microsoft Webservern verwendet, einschließlich Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 und anderen, einschließlich älterer Server wie Windows XP und Windows NT. Wir werden unten mehr über die Unterschiede erfahren, aber im Moment wissen Sie nur, dass Schannel.dll verwendet wird, um zu bestimmen, welches Protokoll verwendet werden soll.
Was ist eine Cipher Suite?
Eine Verschlüsselungssuite ist nichts anderes als eine Reihe von kryptografischen Algorithmen. Schannel-Protokolle verwenden die verschiedenen Algorithmen einer bestimmten Verschlüsselungssuite, um Schlüssel zu erstellen und Informationen zu verschlüsseln. Im Allgemeinen gibt eine Verschlüsselungssuite einen Algorithmus für jede der folgenden drei Aufgaben an:
- Schlüsselaustausch - Diese Algorithmen sind asymmetrisch (Public-Key-Algorithmen) und funktionieren mit kleinen Datenmengen gut. Sie werden zum Schutz von Informationen verwendet, die zum Erstellen gemeinsamer Schlüssel für sichere Transaktionen erforderlich sind.
- Massenverschlüsselung - Diese Aufgabe verschlüsselt Nachrichten, die zwischen Clients und Servern ausgetauscht werden. Diese Algorithmen sind symmetrisch und arbeiten selbst bei großen Datenmengen sehr gut.
- Nachrichtenauthentifizierung - Diese Algorithmen erzeugen eine Nachricht Hashes und Unterschriften, die die Integrität einer Nachricht.
Alle oben genannten verwenden ALG_ID - einen Datentyp, der eine Algorithmuskennung angibt -, um dem Betriebssystem mitzuteilen, welche Cipher Suite verwendet werden soll. Eine Liste aller verfügbaren Cipher Suites, die für Schannel.dll verfügbar sind, finden Sie auf der Microsoft-Website hier.
Ändern der Cipher Suites in Schannel.dll
Jetzt, da Sie etwas mehr über Cipher Suites und Schannel.dll wissen, ist es an der Zeit zu überlegen, wie Sie ändern können, welche kryptografischen Algorithmen und Protokolle tatsächlich verwendet werden. Es ist wichtig zu beachten, dass die Software, die Sie verwenden, auch die Protokolle unterstützen muss, selbst wenn Sie die Verwendung von Schannel.dll ändern. Hier ist eine Liste der verschiedenen Windows-Betriebssysteme, die Sie möglicherweise als Server verwenden.
- Windows Server Standard 2012
- Windows Server Datacenter 2012
- Windows Server Enterprise 2008 R2
- Windows Server Standard 2008 R2
- Windows Server Datacenter 2008 R2
- 7 Windows Enterprise
- Windows-7 Berufs
- Windows Server Enterprise 2008
- Windows Server Standard 2008
- Windows Server Datacenter 2008
- 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
- 2003 Microsoft Windows Server, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Web-Edition
- Microsoft Windows XP Professional
- Microsoft Windows XP Home Edition
- Microsoft Windows Server 2000
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standardausgabe
- Microsoft Windows NT Server 4.0 Unternehmensausgabe
- Microsoft Windows NT Workstation 4.0 Entwicklerausgabe
Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003
Zunächst werden wir uns Windows 2003-Betriebssysteme und frühere Versionen ansehen. Um verschiedene Protokolle ein- und auszuschalten, müssen Sie zuerst Regedt32.exe verwenden, um den folgenden Registrierungsschlüssel zu finden:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
Als Nächstes gehen wir die verschiedenen verfügbaren Unterschlüssel durch - und wo Sie Ihre Änderungen vornehmen möchten. Um eine der folgenden Optionen zu aktivieren, setzen Sie die DWORD-Wertdaten auf 0xffffffff oder auf 0x0, um diesen bestimmten Unterschlüssel zu deaktivieren.
- SCHANNELProtokolle - Damit das System die Protokolle verwenden kann, die standardmäßig nicht ausgehandelt werden (z TLS 1.1 und TLS 1.2) Ändern Sie die DWORD-Wertdaten des DisabledByDefault-Werts in den folgenden Registrierungsschlüsseln unter dem Protokollschlüssel in 0x0:
- Unterschlüssel SCHANNELCiphers - Der Ciphers-Registrierungsschlüssel unter dem SCHANNEL-Schlüssel wird verwendet, um die Verwendung symmetrischer Algorithmen wie DES und RC4 zu steuern. Das Folgende sind gültige Registrierungsschlüssel unter dem Schlüssel "Chiffren".
- Unterschlüssel SCHANNEL / Hashes - Der Hashes-Registrierungsschlüssel unter dem SCHANNEL-Schlüssel wird verwendet, um die Verwendung von Hashing-Algorithmen wie SHA-1 und MD5 zu steuern. Das Folgende sind gültige Registrierungsschlüssel unter dem Hashes-Schlüssel.
- Unterschlüssel SCHANNEL / KeyExchangeAlgorithms - Der Registrierungsschlüssel KeyExchangeAlgorithms unter dem Schlüssel SCHANNEL wird verwendet, um die Verwendung von Schlüsselaustauschalgorithmen wie RSA zu steuern. Im Folgenden sind gültige Registrierungsschlüssel unter dem Schlüssel KeyExchangeAlgorithms aufgeführt.
Quelle: Microsoft-Wissensdatenbank
HINWEIS: Damit die Datei Schannel.dll Änderungen unter dem SCHANNEL-Registrierungsschlüssel erkennt, müssen Sie den Computer neu starten.
Windows 7, Windows Server 2008 und höher
Für neuere Betriebssysteme ist die Registrierung etwas anders eingerichtet. Hier sind die Schlüssel, mit denen Sie arbeiten möchten, um bestimmte Protokolle ein- oder auszuschalten. Um eine der folgenden Optionen zu aktivieren, setzen Sie die DWORD-Wertdaten auf dword: 00000001 oder auf dword: 00000000, um diesen bestimmten Unterschlüssel zu deaktivieren.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
- "EventLogging" = dword: 00000001
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel-Protokolle]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel-ProtokolleSSL 2.0]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
- "DisabledByDefault" = dword: 00000001
Windows Server 2008 unterstützt die folgenden Protokolle:
- SSL 2.0
- SSL 3.0
- TLS 1.0
Windows Server 2008 R2 und Windows 7 unterstützen die folgenden Protokolle:
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Quelle: Microsoft-Wissensdatenbank
Fallstudie: Aktivieren TLS 1.2 Chiffren in IIS 7.5, Server 2008 R2, Windows 7
Drüben bei Derek Seamans Blog hat er sich etwas ausgedacht ein raffiniertes PowerShell-Skript zurück im Jahr 2010, um bei der Aktivierung zu helfen TLS 1.2 Chiffren - welche AES-256-Verschlüsselung mit SHA-256-Hashes.
Cipher Suites in Schannel.dll
Wenn Sie Fragen zu Cipher Suites in Schannel.dll oder zu anderen Themen haben SSL-Zertifikate Wenn Sie sicherstellen möchten, dass die Daten Ihrer Website-Besucher jederzeit sicher sind, zögern Sie nicht, uns zu kontaktieren. Wir werden unser Bestes tun, um Ihre Fragen zu beantworten und Sie in die richtige Richtung zu weisen.