L'articolo descrive alcune informazioni sull'impostazione del registro per l'implementazione Windows® del protocollo Transport Layer Security (TLS) e del protocollo Secure Sockets Layer (SSL) tramite Schannel Security SupportProvider (SSP).
Nota :si applica a Windows Server (canale semestrale), Windows Server 2019, Windows Server 2016 e Windows 10.
Le sezioni seguenti trattano parametri di impostazione del registro specifici:
CertificateMappingMethods
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Esistono due metodi per mappare i certificati client:
-
Mappatura uno a uno :queste mappature associano i certificati dei singoli client agli account dei singoli utenti su base uno a uno. Ogni certificato client viene associato a un account utente.
-
Mappatura molti-a-uno :queste mappature associano più certificati a un account utente in base ai sottocampi nei certificati client.
La configurazione di questa voce sul server ogni volta che un client presenta un certificato client associa automaticamente quell'utente all'appropriato account utente di Windows.
Ciphers e suite di cifratura
Per configurare questi record, è necessario l'ordine della suite di crittografia TLS, l'MDM dei criteri di gruppo o PowerShell® e questo articolo non copre la configurazione.
ClientCacheTime
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Questa voce controlla il tempo impiegato dal sistema operativo (in millisecondi) per far scadere le voci della cache sul lato client. Se il valore è 0 , disattiva la connessione sicura.
AbilitaOcspStaplingForSni
Online Certificate Status Protocol (OCSP) è un protocollo utilizzato per ottenere lo stato di revoca di un certificato digitale X.509 durante l'handshake TLS. Attivando questa voce, il server web può ridurre il proprio carico di lavoro.
Percorso del registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Aggiungi la seguente chiave:"EnableOcspStaplingForSni"=dword:00000001
Per disabilitare, imposta il DWORD valore a 0:"EnableOcspStaplingForSni"=dword:00000000
FIPSAlgorithmPolicy
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\LSA
Il National Institute of Standards and Technology annuncia pubblicamente gli standard FIPS (Federal Information Processing) sviluppati per l'uso nei sistemi informatici da agenzie governative americane non militari e appaltatori governativi. L'impostazione di questa voce controlla la conformità FIPS. L'impostazione predefinita è 0 .
Hash
La configurazione dell'ordine della suite di crittografia dovrebbe controllare gli algoritmi hash TLS/SSL.
EssuerCacheSize
Quando gli emittenti non si associano a un account, il server potrebbe tentare di mappare lo stesso nome dell'emittente ripetutamente, centinaia di volte al secondo. Utilizzare questa voce, che controlla la dimensione della cache dell'emittente, con la mappatura dell'emittente. Questa voce di registro specifica la dimensione della cache e il valore predefinito è 100 .
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
IssuerCacheTime
Come EssuerCacheSize evita la moltiplicazione dei tentativi di mappare l'emittente al server, puoi limitare la lunghezza dell'intervallo di timeout della cache in millisecondi. Il valore predefinito è 10 minuti.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
KeyExchangeAlgorithm:dimensioni delle chiavi RSA client
Questa voce controlla la dimensione della chiave RSA del client.
Percorso del registro:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS
Se vuoi specificare una lunghezza minima per la chiave RSA, devi creare un ClientMinKeyBitLength inserire e assegnare la lunghezza desiderata. Se non crei questa voce, il valore predefinito è 1024 bit. Tuttavia, se specifichi una lunghezza massima, crea il ClientMaxKeyBitLength inserire e modificare il valore desiderato.
Nota :la configurazione dell'ordine della suite di crittografia dovrebbe controllare utilizzando algoritmi di scambio di chiavi.
KeyExchangeAlgorithm:dimensioni delle chiavi Diffie-Hellman
Questa voce controlla le dimensioni delle chiavi di Diffie-Hellman.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
Si noti che le voci extra per specificare un valore della chiave Diffie-Helman sono le stesse della chiave RSA. Se desideri specificare un intervallo minimo supportato di chiavi Diffie-Helman, devi creare un ClientMinKeyBitLength inserire e assegnare la lunghezza di bit desiderata. Se non crei questa voce, il valore predefinito è 1024 bit. Se specifichi un intervallo di supporto massimo, crea il ClientMaxKeyBitLength inserire e modificare il valore desiderato. Infine, usa ServerMinKeyBitLength voce per specificare la lunghezza per il server TLS predefinito. In caso contrario, il valore predefinito è 2048.
Nota :la configurazione dell'ordine della suite di crittografia dovrebbe controllare utilizzando algoritmi di scambio di chiavi.
MaximumCacheSize
Gli elementi della cache possono avere dimensioni diverse. Quando si attiva questa voce, si imposta la dimensione massima della cache. Impostazione del valore su 0 disabilita la sessione lato server ed evita la riconnessione. Probabilmente, attivando questa voce, ottieni un ulteriore consumo di memoria sul tuo server. Il valore predefinito è 20.000 elementi.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Messaggi:analisi dei frammenti
Ogni volta che un client tenta di connettersi a un server con TLS e la connessione riesce, il sistema memorizza un messaggio di handshake sul server. È possibile impostare un limite di dimensione per l'archiviazione di quei messaggi. Quando imposti il valore su 0x0 , non è possibile archiviare i messaggi di handshake, il che causa il fallimento del TLS. Puoi aumentare la dimensione massima consentita a 2^24-1 byte.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging
SendTrustedIssuerList
Utilizzare questa voce solo se non si desidera inviare alcun elenco di emittenti attendibili al cliente.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
ServerCacheTime
Utilizzare questa voce per impostare il tempo (in millisecondi) impiegato dal sistema operativo per far scadere le voci della cache lato server.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Un valore di 0 disabilita la cache della sessione lato server e impedisce la riconnessione. Aumentando ServerCacheTime al di sopra dei valori predefiniti provoca Lsass.exe per consumare memoria. Ogni elemento della cache di sessione richiede in genere da 2 a 4 KB di memoria. Il tempo predefinito della cache del server è di 10 ore.
Se disabiliti la voce per impostazione predefinita utilizzando DisabledByDefault entry e un'app SSPI richiede esplicitamente di utilizzare SSL, TLS o DTLS, potrebbe essere negoziato.
SSL 2.0
Questa sottochiave controlla l'uso di SSL 2.0.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo SSL 2.0, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il valore in 0 . Per disabilitare SSL 2.0 per impostazione predefinita, crea un DisabledByDefault inserire e modificare il valore in 1 .
SSL 3.0
Questa sottochiave controlla l'uso di SSL 3.0.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo SSL 3.0, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il valore in 0 . Per disabilitare SSL 3.0 per impostazione predefinita, crea un DisabledByDefault inserire e modificare il valore in 1 .
TLS 1.0
Questa sottochiave controlla l'uso di TLS 1.0.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo TLS 1.0, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il DWORD valore a 0 .Per disabilitare TLS 1.0 per impostazione predefinita, crea un DisabledByDefault inserire e modificare il valore in 1 .
TLS 1.1
Questa sottochiave controlla l'uso di TLS 1.1.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo TLS 1.1, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il valore in 0 . Per disabilitare TLS 1.1 per impostazione predefinita, crea un DisabledByDefault inserire e modificare il valore in 1 .
TLS 1.2
Questa sottochiave controlla l'uso di TLS 1.2.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo TLS 1.2, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il valore in 0. Per disabilitare TLS 1.2 per impostazione predefinita, crea un DisabledByDefault inserire e modificare il valore in 1 .
DTLS 1.0
Questa sottochiave controlla l'uso di DTLS 1.0.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo DTLS 1.0, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il valore in 0 . Per disabilitare DTLS 1.0 per impostazione predefinita, crea un DisabledByDefault inserire e modificare il valore in 1 .
DTLS 1.2
Questa sottochiave controlla l'uso di DTLS 1.2.
Percorso del registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Per abilitare il protocollo DTLS 1.2, crea un Abilitato voce (nella sottochiave Client o Server) e modificare il valore in 1 . Per disabilitarlo, cambia il valore in 0 . Per disabilitare DTLS 1.2 per impostazione predefinita, crea un DisabledByDefault immettere e modificare il valore in 1 .