IIS - Konfigurere stærke Cipher Suites
Vejledningen nedenfor sikrer, at svagere kryptografiske algoritmer er deaktiveret i Windows registret.
Begrænsning af brugen af visse kryptografiske algoritmer og protokoller i Schannel.dll
Registernøglerne og tilhørende værdier i Windows Server 2008, Windows 7 og Windows Server 2008 R2 ser anderledes ud end dem, der findes i Windows Server 2003 og tidligere versioner. Registreringsdatabasen i Windows 7, Windows Server 2008 og Windows Server 2008 R2 og standardværdierne er som følger:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
Dette indhold vises i standard REGEDIT eksportformat.
Bemærk venligst:
- Ciphers-nøglen må ikke indeholde nogen værdier eller undernøgler.
- CipherSuites-nøglen må ikke indeholde værdier eller undernøgler.
- Hashe-nøglen må ikke indeholde nogen værdier eller undernøgler.
- KeyExchange Algorithme-nøglen må ikke indeholde nogen værdier eller undernøgler.
- Protokollnøglen skal indeholde følgende undernøgler og værdier:
- protokoller
- SSL 2.0
- Klient
- DisabledByDefault REG_DWORD 0x00000001 (værdi)
- Klient
- SSL 2.0
- protokoller
Windows Server 2008, Windows Server 2008 R2 og Windows 7 understøtter følgende protokoller:
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Disse protokoller kan deaktiveres på server- eller klientmiljøet. Scenarierne nedenfor er mulige:
- Protokollen udelades fra listen over understøttede protokoller i klienten Hello, når en SSL-forbindelse startes.
- Protokollen er deaktiveret på serveren. Den svarer ikke ved ikke at bruge denne protokol, selv når klienten stiller en anmodning om SSLv3.0.
Klient- og server-undernøglerne henviser til hver protokol. En protokol til klienten eller til serveren kan deaktiveres. Sørg for, at deaktivering af Cipher, hashes eller CipherSuites påvirker både klienten og serveren. Under protokollens nøgle skal de nødvendige undernøgler oprettes for at opnå dette. For eksempel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
Når undernøglerne genereres, ser registeret sådan ud:
Client SSL 2.0 er som standard deaktiveret i Windows Server 2008, Windows Server 2008 R2 og Windows 7. Det betyder, at klienten ikke vil bruge SSL 2.0 til at starte en klient Hello. Registreringsdatabasen vil se sådan ud:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
Ligesom Ciphers og KeyExchange Algorithmer kan protokoller aktiveres eller deaktiveres. Vælg den side af forbindelsen, som protokollen skal aktiveres for, og tilføj "Enabled" = dword: 00000000 værdi. Dette deaktiverer andre protokoller. Følgende eksempel deaktiverer SSL 2.0 for serveren og også SSL 2.0 til klienten:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001 <Default client disabled>
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000 <Disables SSL 2.0 server-side>
Genstart serveren efter ændringerne.
Har du brug for hjælp?
SSL Hjælp
Ring til os
+45 898 719 39
Send os en besked
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.
