Velg Right Cipher Suites i Schannel.dll

Å sette opp serveren din riktig på Windows er viktig hvis du vil sikre at du faktisk bruker krypteringsalgoritmene for å beskytte data som går fra klienten (nettleser) til serveren og tilbake igjen.

På denne siden har vi grunnleggende informasjon om hvordan du velger riktig Cipher Suite som skal brukes med Windows Server, samt hvordan du konfigurerer den. Det er en god ide å bare aktivere de spesifikke du skal bruke og deaktivere resten. Vær også oppmerksom på at SSL 2.0 og andre ikke er slått på som standard.

Forståelse av Cipher Suites og Schannel.dll

Før vi kommer til det du trenger å gjøre for å endre hvilke Cipher-suiter som brukes og hvilke kryptografiske algoritmer og protokoller som brukes, skal vi kort forklare Schannel.dll-filen, inkludert hvordan den bruker Cipher Suites for å bestemme hvilke sikkerhetsprotokoller som skal brukes . Dette er satt opp i registeret for Windows og er ikke vanskelig å gjøre. Instruksjonene varierer litt avhengig av hvilket operativsystem og webserver du bruker.

Hva er Schannel.dll?

Enkelt sagt er Schannel.dll et bibliotek som er den viktigste Microsoft TLS/ SSL-sikkerhetsleverandør. Den står for Secure Channel og brukes av Microsoft webservere, inkludert Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 og andre, inkludert eldre som Windows XP og Windows NT selv. Vi vil ha mer om forskjellene nedenfor, men for nå bare å vite at Schannel.dll brukes til å bestemme hvilken protokoll du skal bruke.

Hva er en chiffer-pakke?

En chiffer-pakke er ikke noe mer enn et sett med kryptografiske algoritmer. Schannel-protokoller bruker de forskjellige algoritmene fra en bestemt chiffer-pakke for å lage nøkler og kryptere informasjon. Generelt vil en chiffer-pakke spesifisere en algoritme for hver av de følgende tre oppgavene:

• Nøkkelutveksling - Disse algoritmene er asymmetriske (offentlige nøkkelalgoritmer) og fungerer bra med små datamengder. De brukes til å beskytte informasjonen som kreves for å opprette delte nøkler for sikre transaksjoner.
• Bulk kryptering - Denne oppgaven vil kryptere meldinger som utveksles mellom klienter og servere. Disse algoritmene er symmetriske og har en tendens til å fungere veldig bra, selv med store mengder data som overføres.
• Meldingsgodkjenning - Disse algoritmene genererer melding hasjer og signaturer som sikrer integritet av en melding.

Alt det ovennevnte bruker ALG_ID - en datatype som spesifiserer en algoritmeidentifikator - for å fortelle operativsystemet hvilken Cipher Suite som skal brukes. Du kan se en liste over alle tilgjengelige Cipher-suiter som er tilgjengelige for Schannel.dll på Microsofts nettsted her..

Endring av Cipher Suites i Schannel.dll

Nå som du vet litt mer om cipher suites og Schannel.dll, er det på tide å gå over hvordan du endrer hvilke kryptografiske algoritmer og protokoller som faktisk brukes. Det er viktig å merke seg at selv om du endrer hva Schannel.dll bruker, må programvaren du bruker også støtte protokollene. Her er en liste over de forskjellige Windows-operativsystemene du kan bruke som server.

• Windows Server Standard 2012
• Windows Server Datacenter 2012
• Windows Server Enterprise 2008 R2
• Windows Server Standard 2008 R2
• Windows Server Datacenter 2008 R2
• 7 Windows Enterprise
• Windows 7 Professional
• Windows Server Enterprise 2008
• Windows Server Standard 2008
• Windows Server Datacenter 2008
• 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
• 2003 Microsoft Windows Server Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, webutgave
• Microsoft Windows XP Professional
• Microsoft Windows XP Home Edition
• Microsoft Windows Server 2000
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows NT Server 4.0 Standardutgave
• Microsoft Windows NT Server 4.0 Enterprise Edition
• Microsoft Windows NT Workstation 4.0 Developer Edition

Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003

Først skal vi se på Windows 2003-operativsystemer og tidligere. For å slå forskjellige protokoller av og på, må du først bruke Regedt32.exe for å finne følgende registernøkkel:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL

Deretter skal vi gå gjennom de forskjellige undernøklene som er tilgjengelige - og hvor du vil gjøre endringene. I utgangspunktet, for å aktivere en av de følgende, still DWORD-verdidataene til 0xffffffff eller sett den til 0x0 for å deaktivere den aktuelle undernøkkelen.

• SCHANNEL Protokoller - For å gjøre det mulig for systemet å bruke protokollene som ikke vil bli forhandlet som standard (for eksempel TLS 1.1 og TLS 1.2), endre DWORD-verdidataene til DisabledByDefault-verdien til 0x0 i følgende registernøkler under Protokoller-tasten:
• SCHANNELCiphers undernøkkel - Ciphers-registernøkkelen under SCHANNEL-nøkkelen brukes til å kontrollere bruken av symmetriske algoritmer som DES og RC4. Følgende er gyldige registernøkler under Ciphers-nøkkelen.
• SCHANNEL / Hashes undernøkkel - Hashes-registernøkkelen under SCHANNEL-nøkkelen brukes til å kontrollere bruken av hashingalgoritmer som SHA-1 og MD5. Følgende er gyldige registernøkler under Hashes-nøkkelen.
• SCHANNEL / KeyExchangeAlgorithms undernøkkel - Registernøkkelen KeyExchangeAlgorithms under SCHANNEL-nøkkelen brukes til å kontrollere bruken av nøkkelutvekslingsalgoritmer som RSA. Følgende er gyldige registernøkler under KeyExchangeAlgorithms-nøkkelen.

kilde: Microsoft Knowledge Base

MERKNAD: For at Schannel.dll-filen skal gjenkjenne eventuelle endringer under SCHANNEL-registernøkkelen, må du starte datamaskinen på nytt.

Windows 7, Windows Server 2008 og nyere

For nyere operativsystemer er registeret satt opp litt annerledes. Her er nøklene du vil jobbe med for å slå bestemte protokoller på eller av. For å aktivere ett av følgende, sett DWORD-verdidataene til dword: 00000001 eller sett det til dword: 00000000 for å deaktivere den aktuelle undernøkkelen.

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
• “EventLogging” = dword: 00000001
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
• “DisabledByDefault” = dword: 00000001

Windows Server 2008 støtter følgende protokoller:

• SSL 2.0
• SSL 3.0
• TLS 1.0

Windows Server 2008 R2 og Windows 7 støtter følgende protokoller:

• SSL 2.0
• SSL 3.0
• TLS 1.0
• TLS 1.1
• TLS 1.2

kilde: Microsoft Knowledge Base

Casestudie: Aktiver TLS 1.2 Siffer i IIS 7.5, Server 2008 R2, Windows 7

Over på Derek Seaman's Blog kom han på et deilig PowerShell-skript tilbake i 2010 for å hjelpe med aktivering TLS 1.2 kryptering - hvilken AES-256-kryptering med SHA-256-hashes.

Cipher Suites i Schannel.dll

Hvis du har noen spørsmål om Cipher Suites i Schannel.dll eller noe annet relatert til SSL-sertifikater og sørg for at nettstedets besøkende er sikre til enhver tid, ikke nøl med å kontakte oss. Vi vil gjøre vårt beste for å svare på spørsmålene dine og peke deg i riktig retning.