如果要确保确实使用加密算法来保护从客户端(Web浏览器)到服务器再到服务器的数据,则在Windows上正确设置服务器非常重要。
在此页面上,我们提供有关选择正确的Windows Server密码套件以及如何进行设置的一些基本信息。 一个好主意是只激活您要使用的特定计算机,然后禁用其余的计算机。 另请注意,默认情况下可能不会打开SSL 2.0和其他版本。
了解密码套件和Schannel.dll
在进行更改所使用的密码套件以及所使用的加密算法和协议的更改之前,我们将简要介绍Schannel.dll文件,包括其如何使用密码套件来确定要使用的安全协议。 。 这是在Windows注册表中设置的,并不难做到。 这些说明确实有所不同,具体取决于您所使用的操作系统和Web服务器。
什么是Schannel.dll?
简单地说,Schannel.dll是主要的Microsoft库 TLS/SSL 安全提供程序。 它代表安全通道,被 Microsoft Web 服务器使用,包括 Windows Server 2003、Windows Server 2008、Windows 7、Windows Server 2008 R2 等,甚至包括 Windows XP 和 Windows NT 等较旧的服务器。 我们将在下面详细了解差异,但现在只知道 Schannel.dll 用于确定要使用的协议。
什么是密码套件?
密码套件不过是一组密码算法。 Schannel协议使用特定密码套件中的各种算法来创建密钥和加密信息。 通常,密码套件将为以下三个任务中的每一个指定一种算法:
- 密钥交换 –这些算法是非对称的(公钥算法),并且在少量数据时表现良好。 它们用于保护创建安全交易的共享密钥所需的信息。
- 批量加密 –此任务将加密客户端和服务器之间交换的消息。 这些算法是对称的,即使传输大量数据,它们的性能也往往很好。
- 消息认证 –这些算法生成消息 哈希 和签名,以确保 诚信 一条消息。
上面所有方法都使用ALG_ID(一种指定算法标识符的数据类型)来让操作系统知道要使用哪个Cipher Suite。 您可以在Microsoft网站上查看Schannel.dll可用的所有可用密码套件的列表。 点击此处.
在Schannel.dll中更改密码套件
现在,您对密码套件和Schannel.dll有了更多了解,现在该讨论如何更改实际使用的密码算法和协议了。 重要的是要注意,即使您更改了Schannel.dll的使用方式,您将使用的软件也必须支持协议。 这是您可能用作服务器的各种Windows操作系统的列表。
- Windows Server标准2012的
- Windows Server数据中心的2012
- Windows Server企业2008的R2
- Windows Server标准2008 R2的
- Windows服务器数据中心2008的R2的
- Windows 7企业
- 7的Windows专业版
- Windows Server企业2008的
- Windows Server标准2008的
- Windows Server数据中心的2008
- 微软的Windows Server 2003,企业版(位32 x86,)
- 微软的Windows Server 2003,标准版(位32 x86,)
- Microsoft Windows Server 2003,Web版
- 微软Windows XP专业版
- 微软Windows XP家庭版
- 微软Windows Server 2000的
- 微软视窗 2000 高级服务器
- Microsoft Windows 2000专业版
- Microsoft Windows NT Server 4.0标准版
- Microsoft Windows NT Server 4.0企业版
- Microsoft Windows NT工作站4.0开发人员版
Windows NT 4.0 Service Pack 6,Windows 2000,Windows XP,Windows 2003
首先,我们将研究Windows 2003或更早版本的操作系统。 若要打开和关闭不同的协议,必须首先使用Regedt32.exe找到以下注册表项:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
接下来,我们将遍历可用的各个子项以及您要进行更改的地方。 基本上,要启用以下功能之一,请将其DWORD值数据设置为0xffffffff或将其设置为0x0以禁用该特定子项。
- 频道协议 –使系统能够使用默认情况下不会协商的协议(例如 TLS 1.1和 TLS 1.2),在“协议”项下的以下注册表项中,将“ DisabledByDefault”值的DWORD值数据更改为0x0:
- SCHANNELCiphers子项 – SCHANNEL项下的Ciphers注册表项用于控制对称算法(例如DES和RC4)的使用。 以下是密码项下的有效注册表项。
- SCHANNEL / Hashes子项 – SCHANNEL项下的Hashes注册表项用于控制哈希算法(例如SHA-1和MD5)的使用。 以下是哈希键下的有效注册表键。
- SCHANNEL / KeyExchangeAlgorithms子项 – SCHANNEL项下的KeyExchangeAlgorithms注册表项用于控制密钥交换算法(例如RSA)的使用。 以下是KeyExchangeAlgorithms项下的有效注册表项。
Sumber: Microsoft知识库
注意:为使Schannel.dll文件能够识别SCHANNEL注册表项下的任何更改,您必须重新启动计算机。
Windows 7,Windows Server 2008和更高版本
对于较新的操作系统,注册表的设置略有不同。 这是您要用来打开或关闭某些协议的键。 要启用以下功能之一,请将其DWORD值数据设置为dword:00000001或将其设置为dword:00000000以禁用该特定子项。
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
- “ EventLogging” = dword:00000001
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel协议]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
- “ DisabledByDefault” = dword:00000001
Windows Server 2008支持以下协议:
- SSL 2.0的
- SSL 3.0的
- TLS 1.0
Windows Server 2008 R2和Windows 7支持以下协议:
- SSL 2.0的
- SSL 3.0的
- TLS 1.0
- TLS 1.1
- TLS 1.2
Sumber: Microsoft知识库
案例研究:启用 TLS IIS 1.2,Server 7.5 R2008,Windows 2中的7密码
在Derek Seaman的博客上,他想到了 漂亮的PowerShell脚本 回到2010年,以帮助实现 TLS 1.2密码–使用SHA-256散列进行AES-256加密。
Schannel.dll中的密码套件
如果您对Schannel.dll中的密码套件有任何疑问,或与 SSL证书 并确保您的网站访问者的数据始终安全,请随时与我们联系。 我们将尽力回答您的问题,并为您指明正确的方向。
