Επιλέξτε τις σωστές σουίτες Cipher στο Schannel.dll

Η σωστή ρύθμιση του διακομιστή σας στα Windows είναι σημαντική εάν θέλετε να βεβαιωθείτε ότι χρησιμοποιείτε πραγματικά τους αλγόριθμους κρυπτογράφησης για την προστασία δεδομένων που μεταφέρονται από τον πελάτη (πρόγραμμα περιήγησης ιστού) στον διακομιστή και επιστρέφουν ξανά.

Σε αυτήν τη σελίδα, έχουμε μερικές βασικές πληροφορίες σχετικά με την επιλογή του κατάλληλου Cipher Suite για χρήση με τον Windows Server σας, καθώς και τον τρόπο ρύθμισής του. Είναι καλή ιδέα να ενεργοποιήσετε μόνο τα συγκεκριμένα που χρησιμοποιείτε και να απενεργοποιήσετε τα υπόλοιπα. Σημειώστε επίσης ότι το SSL 2.0 και άλλα ενδέχεται να μην είναι ενεργοποιημένα από προεπιλογή.

Κατανόηση των Cipher Suites και Schannel.dll

Πριν φτάσετε σε αυτό που πρέπει να κάνετε για να αλλάξετε ποιες σουίτες Cipher χρησιμοποιούνται και ποιοι κρυπτογραφικοί αλγόριθμοι και πρωτόκολλα χρησιμοποιούνται, θα εξηγήσουμε εν συντομία το αρχείο Schannel.dll, συμπεριλαμβανομένου του τρόπου χρήσης του Cipher Suites για να προσδιορίσετε ποια πρωτόκολλα ασφαλείας θα χρησιμοποιήσετε . Αυτό έχει ρυθμιστεί στο Μητρώο για Windows και δεν είναι δύσκολο να γίνει. Οι οδηγίες διαφέρουν λίγο ανάλογα με το λειτουργικό σύστημα και τον διακομιστή ιστού που χρησιμοποιείτε.

Τι είναι το Schannel.dll;

Με απλά λόγια, το Schannel.dll είναι μια βιβλιοθήκη που είναι η κύρια Microsoft TLS/ Πάροχος ασφαλείας SSL. Αντιπροσωπεύει το Secure Channel και χρησιμοποιείται από τους διακομιστές Web της Microsoft, συμπεριλαμβανομένων των Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 και άλλων, συμπεριλαμβανομένων παλαιότερων όπως τα Windows XP και ακόμη και τα Windows NT. Θα έχουμε περισσότερα σχετικά με τις παρακάτω διαφορές, αλλά προς το παρόν γνωρίζουμε απλώς ότι το Schannel.dll χρησιμοποιείται για να προσδιορίσει ποιο πρωτόκολλο θα χρησιμοποιήσει.

Τι είναι η Cipher Σουίτα;

Μια σουίτα cipher δεν είναι τίποτα περισσότερο από ένα σύνολο κρυπτογραφικών αλγορίθμων. Τα πρωτόκολλα Schannel χρησιμοποιούν τους διάφορους αλγόριθμους από μια συγκεκριμένη σουίτα κρυπτογράφησης για τη δημιουργία κλειδιών και την κρυπτογράφηση πληροφοριών. Γενικά, μια κρυπτογράφηση θα καθορίσει έναν αλγόριθμο για καθεμία από τις ακόλουθες τρεις εργασίες:

  • Ανταλλαγή κλειδιών - Αυτοί οι αλγόριθμοι είναι ασύμμετροι (αλγόριθμοι δημόσιου κλειδιού) και αποδίδουν καλά με μικρές ποσότητες δεδομένων. Χρησιμοποιούνται για την προστασία των πληροφοριών που απαιτούνται για τη δημιουργία κοινόχρηστων κλειδιών για ασφαλείς συναλλαγές.
  • Μαζική κρυπτογράφηση - Αυτή η εργασία θα κρυπτογραφήσει μηνύματα που ανταλλάσσονται μεταξύ πελατών και διακομιστών. Αυτοί οι αλγόριθμοι είναι συμμετρικοί και τείνουν να αποδίδουν πολύ καλά, ακόμη και με τη μεταφορά μεγάλων ποσοτήτων δεδομένων.
  • Έλεγχος ταυτότητας μηνύματος - Αυτοί οι αλγόριθμοι δημιουργούν μήνυμα hashes και υπογραφές που διασφαλίζουν το ακεραιότητα ενός μηνύματος.

Όλα τα παραπάνω χρησιμοποιούν ALG_ID - έναν τύπο δεδομένων που καθορίζει ένα αναγνωριστικό αλγορίθμου - για να ενημερώσουν το λειτουργικό σύστημα ποιο Cipher Suite θα χρησιμοποιήσει. Μπορείτε να δείτε μια λίστα με όλες τις διαθέσιμες σουίτες Cipher που είναι διαθέσιμες στο Schannel.dll στον ιστότοπο της Microsoft εδώ.

Αλλαγή των Cipher Suites στο Schannel.dll

Τώρα που γνωρίζετε λίγο περισσότερα για το cipher suites και το Schannel.dll, ήρθε η ώρα να ανατρέξετε στον τρόπο αλλαγής των κρυπτογραφικών αλγορίθμων και των πρωτοκόλλων που χρησιμοποιούνται πραγματικά. Είναι σημαντικό να σημειωθεί ότι ακόμη και αν αλλάξετε αυτό που χρησιμοποιεί το Schannel.dll, το λογισμικό που θα χρησιμοποιείτε πρέπει επίσης να υποστηρίζει τα πρωτόκολλα. Ακολουθεί μια λίστα με τα διάφορα λειτουργικά συστήματα των Windows που ενδέχεται να χρησιμοποιείτε ως διακομιστής.

  • Windows Server Standard 2012
  • Windows Server Datacenter 2012
  • Windows Server Enterprise 2008 R2
  • Windows Server Standard 2008 R2
  • Windows Server Datacenter 2008 R2
  • 7 Windows Enterprise
  • Παράθυρα 7 Professional
  • Windows Server Enterprise 2008
  • Windows Server Standard 2008
  • Windows Server Datacenter 2008
  • 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
  • 2003 Microsoft Windows Server, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Έκδοση Web
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft διακομιστή 2000 των Windows
  • Προηγμένος διακομιστής Microsoft Windows 2000
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition

Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003

Πρώτον, θα εξετάσουμε τα λειτουργικά συστήματα των Windows 2003 και νωρίτερα. Για να ενεργοποιήσετε και να απενεργοποιήσετε διαφορετικά πρωτόκολλα, πρέπει πρώτα να χρησιμοποιήσετε το Regedt32.exe για να εντοπίσετε το ακόλουθο κλειδί μητρώου:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL

Στη συνέχεια, θα εξετάσουμε τα διάφορα δευτερεύοντα κλειδιά που είναι διαθέσιμα - και πού θέλετε να κάνετε τις αλλαγές σας. Βασικά, για να ενεργοποιήσετε ένα από τα παρακάτω, ορίστε τα δεδομένα τιμής DWORD σε 0xffffffff ή ρυθμίστε τα σε 0x0 για να απενεργοποιήσετε το συγκεκριμένο δευτερεύον κλειδί.

  • SCHANNEL Πρωτόκολλα - Για να επιτρέψετε στο σύστημα να χρησιμοποιεί τα πρωτόκολλα που δεν θα διαπραγματευτούν από προεπιλογή (όπως TLS 1.1 και TLS 1.2), αλλάξτε τα δεδομένα τιμής DWORD της τιμής DisabledByDefault σε 0x0 στα ακόλουθα κλειδιά μητρώου στο κλειδί Protocols:
  • SCHANNELCiphers δευτερεύον κλειδί - Το κλειδί μητρώου Ciphers κάτω από το κλειδί SCHANNEL χρησιμοποιείται για τον έλεγχο της χρήσης συμμετρικών αλγορίθμων όπως DES και RC4. Τα παρακάτω είναι έγκυρα κλειδιά μητρώου κάτω από το κλειδί Ciphers.
  • Δευτερεύον κλειδί SCHANNEL / Hashes - Το κλειδί μητρώου Hashes κάτω από το κλειδί SCHANNEL χρησιμοποιείται για τον έλεγχο της χρήσης αλγορίθμων κατακερματισμού, όπως SHA-1 και MD5. Τα παρακάτω είναι έγκυρα κλειδιά μητρώου κάτω από το κλειδί Hashes.
  • Δευτερεύον κλειδί SCHANNEL / KeyExchangeAlgorithms - Το κλειδί μητρώου KeyExchangeAlgorithms κάτω από το κλειδί SCHANNEL χρησιμοποιείται για τον έλεγχο της χρήσης αλγορίθμων ανταλλαγής κλειδιών όπως το RSA. Τα ακόλουθα είναι έγκυρα κλειδιά μητρώου κάτω από το κλειδί KeyExchangeAlgorithms.

πηγή: Γνωσιακή βάση της Microsoft

ΣΗΜΕΙΩΣΗ: Για να αναγνωρίσει το αρχείο Schannel.dll τυχόν αλλαγές στο κλειδί μητρώου SCHANNEL, πρέπει να κάνετε επανεκκίνηση του υπολογιστή.

Windows 7, Windows Server 2008 και νεότερες εκδόσεις

Για νεότερα λειτουργικά συστήματα, το μητρώο έχει ρυθμιστεί λίγο διαφορετικό. Εδώ είναι τα κλειδιά με τα οποία θέλετε να εργαστείτε για να ενεργοποιήσετε ή να απενεργοποιήσετε ορισμένα πρωτόκολλα. Για να ενεργοποιήσετε ένα από τα παρακάτω, ορίστε τα δεδομένα τιμής DWORD σε dword: 00000001 ή ορίστε το σε dword: 00000000 για να απενεργοποιήσετε το συγκεκριμένο δευτερεύον κλειδί.

  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannel]
  • “EventLogging” = dword: 00000001
  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannelCiphers]
  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannelCipherSuites]
  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannelHashes]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchange Αλγόριθμοι]
  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannelProtocols]
  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
  • [HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
  • “DisabledByDefault” = dword: 00000001

Ο Windows Server 2008 υποστηρίζει τα ακόλουθα πρωτόκολλα:

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0

Οι Windows Server 2008 R2 και Windows 7 υποστηρίζουν τα ακόλουθα πρωτόκολλα:

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2

πηγή: Γνωσιακή βάση της Microsoft

Note: Για να αναγνωρίσει το αρχείο Schannel.dll τυχόν αλλαγές στο κλειδί μητρώου SCHANNEL, πρέπει να γίνει επανεκκίνηση του διακομιστή.

Μελέτη περίπτωσης: Ενεργοποίηση TLS 1.2 Ciphers στα IIS 7.5, Server 2008 R2, Windows 7

Πέρασε στο Derek Seaman's Blog, ήρθε με ένα καλό σενάριο PowerShell το 2010 για βοήθεια με την ενεργοποίηση TLS 1.2 κρυπτογράφησης - με κρυπτογράφηση AES-256 με κατακερματισμό SHA-256.

Cipher Suites στο Schannel.dll

Εάν έχετε ερωτήσεις σχετικά με το Cipher Suites in Schannel.dll ή οτιδήποτε άλλο σχετίζεται με Πιστοποιητικά SSL και διασφαλίζοντας ότι τα δεδομένα των επισκεπτών του ιστότοπού σας είναι ασφαλή ανά πάσα στιγμή, μην διστάσετε να επικοινωνήσετε μαζί μας. Θα κάνουμε το καλύτερο δυνατό για να απαντήσουμε στις ερωτήσεις σας και να σας δείξουμε προς τη σωστή κατεύθυνση.

Ομάδα υποστήριξης SSL

Όλες οι Δημοσιεύσεις

Σχετικά Πώς Tos

Δείτε Όλα Πώς
Facebook linkedin Twitter Youtube Github

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com

Τι είναι το SSL /TLS?

Αναπαραγωγή βίντεο

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com

Μην χάσετε νέα άρθρα και ενημερώσεις από το SSL.com

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.

Κάνω έρευνα