Het correct instellen van uw server op Windows is belangrijk als u zeker wilt weten dat u de coderingsalgoritmen daadwerkelijk gebruikt om gegevens te beschermen die van de client (webbrowser) naar de server gaan en weer terug.
Op deze pagina hebben we wat basisinformatie over het kiezen van de juiste Cipher Suite voor gebruik met uw Windows Server en over hoe u deze kunt instellen. Het is een goed idee om alleen de specifieke te activeren die u gaat gebruiken en de rest uit te schakelen. Merk ook op dat SSL 2.0 en andere mogelijk niet standaard zijn ingeschakeld.
Cipher Suites en Schannel.dll begrijpen
Voordat we beginnen met wat u moet doen om te wijzigen welke Cipher Suites worden gebruikt en welke cryptografische algoritmen en protocollen worden gebruikt, gaan we het bestand Schannel.dll kort uitleggen, inclusief hoe het Cipher Suites gebruikt om te bepalen welke beveiligingsprotocollen moeten worden gebruikt . Dit is ingesteld in het register voor Windows en is niet moeilijk te doen. De instructies variëren enigszins, afhankelijk van het besturingssysteem en de webserver die u gebruikt.
Wat is Schannel.dll?
Simpel gezegd, Schannel.dll is een bibliotheek die de belangrijkste Microsoft is TLS/SSL-beveiligingsprovider. Het staat voor Secure Channel en wordt gebruikt door Microsoft Web Servers, waaronder Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 en anderen, inclusief oudere zoals Windows XP en Windows NT zelfs. We zullen hieronder meer hebben over de verschillen, maar weet nu dat Schannel.dll wordt gebruikt om te bepalen welk protocol te gebruiken.
Wat is een Cipher Suite?
Een coderingssuite is niets meer dan een set cryptografische algoritmen. Schannel-protocollen gebruiken de verschillende algoritmen van een bepaalde coderingssuite om sleutels te maken en informatie te versleutelen. Over het algemeen specificeert een coderingssuite één algoritme voor elk van de volgende drie taken:
- Sleuteluitwisseling - Deze algoritmen zijn asymmetrisch (public key-algoritmen) en presteren goed met kleine hoeveelheden gegevens. Ze worden gebruikt om informatie te beschermen die nodig is om gedeelde sleutels te maken voor veilige transacties.
- Bulkversleuteling - Deze taak zal berichten versleutelen die tussen clients en servers worden uitgewisseld. Deze algoritmen zijn symmetrisch en presteren meestal erg goed, zelfs als er grote hoeveelheden gegevens worden overgedragen.
- Berichtverificatie - Deze algoritmen genereren een bericht hashes en handtekeningen die de integriteit van een bericht.
Alle bovenstaande gebruiken ALG_ID - een gegevenstype dat een algoritme-ID specificeert - om het besturingssysteem te laten weten welke Cipher Suite moet worden gebruikt. U kunt een lijst bekijken van alle beschikbare Cipher Suites die beschikbaar zijn voor Schannel.dll op de Microsoft-website hier.
Het veranderen van de Cipher Suites in Schannel.dll
Nu u wat meer weet over coderingssuites en Schannel.dll, is het tijd om te bekijken hoe u kunt wijzigen welke cryptografische algoritmen en protocollen daadwerkelijk worden gebruikt. Het is belangrijk op te merken dat zelfs als u wijzigt wat Schannel.dll gebruikt, de software die u gebruikt ook de protocollen moet ondersteunen. Hier is een lijst met de verschillende Windows-besturingssystemen die u mogelijk als server gebruikt.
- Windows Server Standard 2012
- Windows Server Datacenter 2012
- Windows Server Enterprise 2008 R2
- Windows Server Standard 2008 R2
- Windows Server Datacenter 2008 R2
- 7 Windows Enterprise
- Windows 7 Professional
- Windows Server Enterprise 2008
- Windows Server Standard 2008
- Windows Server Datacenter 2008
- 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
- 2003 Microsoft Windows Server, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, webeditie
- Microsoft Windows XP Professional
- Microsoft Windows XP Home Edition
- Microsoft Windows Server 2000
- Microsoft Windows 2000 geavanceerde server
- Microsoft Windows 2000 Professional-editie
- Microsoft Windows NT Server 4.0 Standaardeditie
- Microsoft Windows NT Server 4.0 Enterprise-editie
- Microsoft Windows NT Workstation 4.0 Developer Edition
Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003
We gaan eerst kijken naar Windows 2003-besturingssystemen en eerder. Om verschillende protocollen in en uit te schakelen, moet u eerst Regedt32.exe gebruiken om de volgende registersleutel te vinden:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
Vervolgens gaan we de verschillende subsleutels bekijken die beschikbaar zijn - en waar u uw wijzigingen wilt aanbrengen. Om een van de onderstaande opties in te schakelen, stelt u in feite de DWORD-waardegegevens in op 0xffffffff of stelt u deze in op 0x0 om die specifieke subsleutel uit te schakelen.
- SCHANNEL Protocollen - Om het systeem in staat te stellen de protocollen te gebruiken waarover standaard niet wordt onderhandeld (zoals TLS 1.1 en TLS 1.2), wijzig de DWORD-waardegegevens van de waarde DisabledByDefault in 0x0 in de volgende registersleutels onder de sleutel Protocols:
- SCHANNEL Verandert de subsleutel - De registersleutel Ciphers onder de SCHANNEL-sleutel wordt gebruikt om het gebruik van symmetrische algoritmen zoals DES en RC4 te regelen. De volgende zijn geldige registersleutels onder de Ciphers-sleutel.
- SCHANNEL / Hashes-subsleutel - De Hashes-registersleutel onder de SCHANNEL-sleutel wordt gebruikt om het gebruik van hash-algoritmen zoals SHA-1 en MD5 te regelen. De volgende zijn geldige registersleutels onder de hash-sleutel.
- SCHANNEL / KeyExchangeAlgorithms-subsleutel - De registersleutel KeyExchangeAlgorithms onder de SCHANNEL-sleutel wordt gebruikt om het gebruik van sleuteluitwisselingsalgoritmen zoals RSA te regelen. De volgende zijn geldige registersleutels onder de KeyExchangeAlgorithms-sleutel.
Bron: Microsoft Kennisbank
OPMERKING: Om ervoor te zorgen dat het bestand Schannel.dll eventuele wijzigingen onder de registersleutel SCHANNEL herkent, moet u de computer opnieuw opstarten.
Windows 7, Windows Server 2008 en hoger
Voor nieuwere besturingssystemen is het register iets anders opgezet. Hier zijn de toetsen waarmee u wilt werken om bepaalde protocollen in of uit te schakelen. Om een van de onderstaande opties in te schakelen, stelt u de DWORD-waardegegevens in op dword: 00000001 of stelt u deze in op dword: 00000000 om die specifieke subsleutel uit te schakelen.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
- "EventLogging" = dword: 00000001
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchange-algoritmen]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
- "DisabledByDefault" = dword: 00000001
Windows Server 2008 ondersteunt de volgende protocollen:
- SSL 2.0
- SSL 3.0
- TLS 1.0
Windows Server 2008 R2 en Windows 7 ondersteunen de volgende protocollen:
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Bron: Microsoft Kennisbank
Casestudy: inschakelen TLS 1.2 Cijfers in IIS 7.5, Server 2008 R2, Windows 7
Bij Derek Seaman's Blog bedacht hij een handig PowerShell-script terug in 2010 om te helpen met inschakelen TLS 1.2 cijfers - welke AES-256-codering met SHA-256-hashes.
Cipher Suites in Schannel.dll
Als u vragen heeft over Cipher Suites in Schannel.dll of iets anders gerelateerd aan SSL-certificaten en om ervoor te zorgen dat de gegevens van uw websitebezoekers te allen tijde veilig zijn, aarzel dan niet om contact met ons op te nemen. We zullen ons best doen om uw vragen te beantwoorden en u in de juiste richting te wijzen.