Net Lab

User Tools

Site Tools

You are here: index » software » win » sec » enabletls
software:win:sec:enabletls

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
software:win:sec:enabletls [2015/05/13 00:53]
– [PS] root		software:win:sec:enabletls [2015/11/14 22:49]
– [Алгоритмы шифрования и обмена ключами] root
Line 16: Line 16:
  
 ===== Алгоритмы шифрования и обмена ключами ===== ===== Алгоритмы шифрования и обмена ключами =====
 +**Предупреждение**: микрософт довольно часто меняет эти параметры при установке обновлений!\\
 +Следите/восстанавливайте значение после установки обновлений самостоятельно.\\
 +
 +
 В реестре, по адресу: В реестре, по адресу:
 <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002</code> <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002</code>
Line 58: Line 62:
 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
 +TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
 +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
 +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
 +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521
-TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 
 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 
 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 
 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Line 80: Line 84:
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
 +TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
 +TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
 +TLS_RSA_WITH_AES_256_GCM_SHA384
 +TLS_RSA_WITH_AES_128_GCM_SHA256
 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256
 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA
Line 90: Line 98:
 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
 TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA
-TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA +TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA</code>
-TLS_RSA_WITH_RC4_128_MD5 +
-SSL_CK_RC4_128_WITH_MD5 +
-SSL_CK_DES_192_EDE3_CBC_WITH_MD5 +
-TLS_RSA_WITH_NULL_SHA256 +
-TLS_RSA_WITH_NULL_SHA</code>+
  
-Если сравнить, то видно что я добавил "сильные связки" и оставил слабые.\\ +Если сравнить, то видно что я добавил "сильные связки" и удалил совсем слабые.\\ 
-Когда я удалил слабые, то Windows Update (который через интернет, а не локальный WSUS) перестал работать, поэтому пришлось вернуть.\\+Когда я удалил некоторые слабые варианты, то Windows Update (который через интернет, а не локальный WSUS) перестал работать, поэтому пришлось вернуть.\\
 Список алгоритмов можно посмотреть тут: gpedit.msc, Конфигурация компьютера, Административные шаблоны, Сеть, Параметры настройки SSL - Порядок комплектов шифров SSL\\ Список алгоритмов можно посмотреть тут: gpedit.msc, Конфигурация компьютера, Административные шаблоны, Сеть, Параметры настройки SSL - Порядок комплектов шифров SSL\\
 в описании этого параметра есть все доступные алгоритмы.\\ в описании этого параметра есть все доступные алгоритмы.\\
Line 133: Line 136:
 при этом 1.1 и 1.2 они оставляют в подвешенном состоянии.\\ при этом 1.1 и 1.2 они оставляют в подвешенном состоянии.\\
  
-**Отключаем SSL2 и SSL3**+==== Отключаем SSL2 и SSL3 ====
 <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
  
Line 154: Line 157:
 "Enabled"=dword:00000000</code> "Enabled"=dword:00000000</code>
  
-**Включаем TLS 1.1 и 1.2**+==== Включаем TLS 1.1 и 1.2 ====
 <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
  
Line 214: Line 217:
  
  
-И на последок, есть такая утилита: [[https://www.nartac.com/Products/IISCrypto/Default.aspx]] +===== Утилита ===== 
-<img src="http://habrastorage.org/getpro/habr/post_images/4bf/243/ebf/4bf243ebfc01431c20aba2e39612514c.png" alt="image"/>+И на последок, есть такая утилита: [[https://www.nartac.com/Products/IISCrypto/Default.aspx]]\\ 
 +{{:ru:software:win:sec:iis_crypto.png|}}
  
  
Line 222: Line 226:
   * Many applications that use schannel are written so that the receiver side assumes application data will be packed into a single packet. This occurs even though the application calls schannel for decryption. The applications ignore a flag that is set by schannel. The flag indicates to the application that there is more data to be decrypted and picked up by the receiver. **This method does not follow the MSDN-prescribed method of using schannel. Because the security update enforces record-splitting, this breaks such applications.**   * Many applications that use schannel are written so that the receiver side assumes application data will be packed into a single packet. This occurs even though the application calls schannel for decryption. The applications ignore a flag that is set by schannel. The flag indicates to the application that there is more data to be decrypted and picked up by the receiver. **This method does not follow the MSDN-prescribed method of using schannel. Because the security update enforces record-splitting, this breaks such applications.**
   * **Broken applications include Microsoft products and in-box components.** The following are examples of scenarios that may be broken when the SendExtraRecord registry value is set to 1:   * **Broken applications include Microsoft products and in-box components.** The following are examples of scenarios that may be broken when the SendExtraRecord registry value is set to 1:
- * All SQL products, and applications that are built onto SQL. + * All SQL products, and applications that are built onto SQL.\\ 
- * Terminal Servers that have Network Level Authentication (NLA) turned on. By default, NLA is enabled in Windows Vista and later versions of Windows. + * Terminal Servers that have Network Level Authentication (NLA) turned on. By default, NLA is enabled in Windows Vista and later versions of Windows.\\ 
- * Some Routing Remote Access Service (RRAS) scenarios.+ * Some Routing Remote Access Service (RRAS) scenarios.\\
  
software/win/sec/enabletls.txt · Last modified: 2022/02/05 04:38 by root

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki