IIS - Konfigurere stærke Cipher Suites

Vejledningen nedenfor sikrer, at svagere kryptografiske algoritmer er deaktiveret i Windows registret.

Begrænsning af brugen af visse kryptografiske algoritmer og protokoller i Schannel.dll

Registernøglerne og tilhørende værdier i Windows Server 2008, Windows 7 og Windows Server 2008 R2 ser anderledes ud end dem, der findes i Windows Server 2003 og tidligere versioner. Registreringsdatabasen i Windows 7, Windows Server 2008 og Windows Server 2008 R2 og standardværdierne er som følger:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001

Dette indhold vises i standard REGEDIT eksportformat.

Bemærk venligst:

  • Ciphers-nøglen må ikke indeholde nogen værdier eller undernøgler.
  • CipherSuites-nøglen må ikke indeholde værdier eller undernøgler.
  • Hashe-nøglen må ikke indeholde nogen værdier eller undernøgler.
  • KeyExchange Algorithme-nøglen må ikke indeholde nogen værdier eller undernøgler.
  • Protokollnøglen skal indeholde følgende undernøgler og værdier:
    • protokoller
      • SSL 2.0
        • Klient
          • DisabledByDefault REG_DWORD 0x00000001 (værdi)

Windows Server 2008, Windows Server 2008 R2 og Windows 7 understøtter følgende protokoller:

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2

Disse protokoller kan deaktiveres på server- eller klientmiljøet. Scenarierne nedenfor er mulige:

  • Protokollen udelades fra listen over understøttede protokoller i klienten Hello, når en SSL-forbindelse startes.
  • Protokollen er deaktiveret på serveren. Den svarer ikke ved ikke at bruge denne protokol, selv når klienten stiller en anmodning om SSLv3.0.

Klient- og server-undernøglerne henviser til hver protokol. En protokol til klienten eller til serveren kan deaktiveres. Sørg for, at deaktivering af Cipher, hashes eller CipherSuites påvirker både klienten og serveren. Under protokollens nøgle skal de nødvendige undernøgler oprettes for at opnå dette. For eksempel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]

Når undernøglerne genereres, ser registeret sådan ud:

IIS Strong CipherSuites

Client SSL 2.0 er som standard deaktiveret i Windows Server 2008, Windows Server 2008 R2 og Windows 7. Det betyder, at klienten ikke vil bruge SSL 2.0 til at starte en klient Hello. Registreringsdatabasen vil se sådan ud:

IIS Strong CipherSuites

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001

Ligesom Ciphers og KeyExchange Algorithmer kan protokoller aktiveres eller deaktiveres. Vælg den side af forbindelsen, som protokollen skal aktiveres for, og tilføj "Enabled" = dword: 00000000 værdi. Dette deaktiverer andre protokoller. Følgende eksempel deaktiverer SSL 2.0 for serveren og også SSL 2.0 til klienten:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001 <Default client disabled>
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000 <Disables SSL 2.0 server-side>

Genstart serveren efter ændringerne.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.