클라이언트 (웹 브라우저)에서 서버로 이동하고 다시 돌아 오는 데이터를 보호하기 위해 실제로 암호화 알고리즘을 사용하고 있는지 확인하려면 Windows에서 서버를 올바르게 설정하는 것이 중요합니다.
이 페이지에는 Windows Server와 함께 사용할 올바른 Cipher Suite를 선택하는 방법과 설정 방법에 대한 몇 가지 기본 정보가 있습니다. 사용할 특정 항목 만 활성화하고 나머지는 비활성화하는 것이 좋습니다. 또한 SSL 2.0 및 기타 기능은 기본적으로 켜지지 않을 수 있습니다.
암호 제품군 및 Schannel.dll 이해
사용되는 암호화 제품군과 사용되는 암호화 알고리즘 및 프로토콜을 변경하기 위해 수행해야하는 작업에 앞서 암호화 제품군을 사용하여 사용할 보안 프로토콜을 결정하는 방법을 포함하여 Schannel.dll 파일에 대해 간략하게 설명하겠습니다. . 이것은 Windows 용 레지스트리에서 설정되며 어렵지 않습니다. 지침은 사용중인 운영 체제 및 웹 서버에 따라 약간 다릅니다.
Schannel.dll은 (는) 무엇 이죠?
간단히 말해 Schannel.dll은 Microsoft의 주요 라이브러리입니다. TLS/SSL 보안 공급자. Secure Channel의 약자이며 Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 및 기타 Windows XP 및 Windows NT와 같은 이전 버전을 포함한 기타 Microsoft 웹 서버에서 사용됩니다. 아래에서 차이점에 대해 더 자세히 다루겠지만 지금은 Schannel.dll이 사용할 프로토콜을 결정하는 데 사용된다는 것만 알아두십시오.
암호 스위트 란 무엇입니까?
암호 제품군은 단순한 암호화 알고리즘에 지나지 않습니다. Schannel 프로토콜은 특정 암호 제품군의 다양한 알고리즘을 사용하여 키를 만들고 정보를 암호화합니다. 일반적으로 암호 제품군은 다음 세 가지 작업 각각에 대해 하나의 알고리즘을 지정합니다.
- 키 교환 – 이러한 알고리즘은 비대칭 (공개 키 알고리즘)이며 적은 양의 데이터로 잘 수행됩니다. 보안 거래를 위해 공유 키를 만드는 데 필요한 정보를 보호하는 데 사용됩니다.
- 대량 암호화 –이 작업은 클라이언트와 서버간에 교환되는 메시지를 암호화합니다. 이러한 알고리즘은 대칭 적이며 많은 양의 데이터가 전송되는 경우에도 매우 잘 수행되는 경향이 있습니다.
- 메시지 인증 –이 알고리즘은 메시지를 생성합니다. 해시 및 서명을 보장하는 서명 보전 메시지의.
위의 모든 항목은 알고리즘 식별자를 지정하는 데이터 유형 인 ALG_ID를 사용하여 운영 체제가 사용할 Cipher Suite를 알 수 있도록합니다. Microsoft 웹 사이트에서 Schannel.dll에 사용할 수있는 모든 암호 제품군 목록을 볼 수 있습니다. LINK.
Schannel.dll에서 암호 제품군 변경
이제 암호 그룹과 Schannel.dll에 대해 조금 더 알고 있으므로 실제로 사용되는 암호화 알고리즘 및 프로토콜을 변경하는 방법을 살펴볼 차례입니다. Schannel.dll이 사용하는 것을 변경하더라도 사용할 소프트웨어도 프로토콜을 지원해야한다는 점에 유의해야합니다. 다음은 서버로 사용할 수있는 다양한 Windows 운영 체제 목록입니다.
- 윈도우 서버 표준 2012
- 윈도우 서버 데이터 센터 2012
- 윈도우 서버 엔터프라이즈 2008 R2
- 윈도우 서버 표준 2008 R2
- 윈도우 서버 데이터 센터 2008 R2
- 7 윈도우 기업
- 윈도우 7 전문
- 윈도우 서버 엔터프라이즈 2008
- 윈도우 서버 표준 2008
- 윈도우 서버 데이터 센터 2008
- 2003 마이크로 소프트 윈도우 서버 엔터프라이즈 에디션 (32 비트 x86)
- 2003 마이크로 소프트 윈도우 서버 스탠다드 에디션 (32 비트 x86)
- Microsoft Windows Server 2003, 웹 에디션
- 마이크로 소프트 윈도우 XP 프로 페셔널
- 마이크로 소프트 윈도우 XP 홈 에디션
- 마이크로 소프트 윈도우 2000 서버
- Microsoft Windows 2000 Advanced 서버
- Microsoft Windows 2000 Professional 에디션
- 마이크로소프트 윈도우 NT 서버 4.0 스탠다드 에디션
- 마이크로소프트 윈도우 NT 서버 4.0 엔터프라이즈 에디션
- Microsoft Windows NT Workstation 4.0 개발자 에디션
Windows NT 4.0 서비스 팩 6, Windows 2000, Windows XP, Windows 2003
먼저 Windows 2003 및 이전 운영 체제를 살펴 보겠습니다. 다른 프로토콜을 켜고 끄려면 먼저 Regedt32.exe를 사용하여 다음 레지스트리 키를 찾아야합니다.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
다음으로 사용 가능한 다양한 하위 키와 변경하려는 위치에 대해 살펴 보겠습니다. 기본적으로 아래 중 하나를 활성화하려면 DWORD 값 데이터를 0xffffffff로 설정하거나 0x0으로 설정하여 특정 하위 키를 비활성화합니다.
- 샤넬 프로토콜 – 시스템에서 기본적으로 협상되지 않는 프로토콜 (예 : TLS 1.1 및 TLS 1.2) 프로토콜 키 아래의 다음 레지스트리 키에서 DisabledByDefault 값의 DWORD 값 데이터를 0x0으로 변경합니다.
- SCHANNELCiphers 하위 키 – SCHANNEL 키 아래의 Ciphers 레지스트리 키는 DES 및 RC4와 같은 대칭 알고리즘의 사용을 제어하는 데 사용됩니다. 다음은 Ciphers 키 아래에있는 유효한 레지스트리 키입니다.
- 샤넬 / 해시 하위 키 – SCHANNEL 키 아래의 Hashes 레지스트리 키는 SHA-1 및 MD5와 같은 해싱 알고리즘의 사용을 제어하는 데 사용됩니다. 다음은 Hashes 키 아래에있는 유효한 레지스트리 키입니다.
- SCHANNEL / KeyExchangeAlgorithms 하위 키 – SCHANNEL 키 아래의 KeyExchangeAlgorithms 레지스트리 키는 RSA와 같은 키 교환 알고리즘의 사용을 제어하는 데 사용됩니다. 다음은 KeyExchangeAlgorithms 키 아래의 유효한 레지스트리 키입니다.
출처: Microsoft 기술 자료
참고 : Schannel.dll 파일이 SCHANNEL 레지스트리 키 아래의 변경 내용을 인식하려면 컴퓨터를 다시 시작해야합니다.
Windows 7, Windows Server 2008 이상
최신 운영 체제의 경우 레지스트리가 약간 다르게 설정됩니다. 다음은 특정 프로토콜을 켜거나 끄는 데 사용할 키입니다. 아래 중 하나를 활성화하려면 DWORD 값 데이터를 dword : 00000001로 설정하거나 dword : 00000000으로 설정하여 특정 하위 키를 비활성화합니다.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders채널]
- “EventLogging”= dword : 00000001
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchange 알고리즘]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel 프로토콜]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0클라이언트]
- “DisabledByDefault”= dword : 00000001
Windows Server 2008은 다음 프로토콜을 지원합니다.
- SSL 2.0
- SSL 3.0
- TLS 1.0
Windows Server 2008 R2 및 Windows 7은 다음 프로토콜을 지원합니다.
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
출처: Microsoft 기술 자료
사례 연구 : 사용 TLS IIS 1.2, Server 7.5 R2008, Windows 2의 7 암호
Derek Seaman의 블로그에서 그는 멋진 PowerShell 스크립트 2010 년으로 돌아와서 TLS 1.2 암호 – SHA-256 해시를 사용한 AES-256 암호화.
Schannel.dll의 암호 스위트
Cipher Suites in Schannel.dll 또는 기타 관련 질문이 있으면 SSL 인증서 웹 사이트 방문자의 데이터가 항상 안전한지 확인하려면 주저하지 말고 저희에게 연락하십시오. 귀하의 질문에 답하고 올바른 방향으로 안내하기 위해 최선을 다할 것입니다.