Site Tools


software:win:sec:enabletls

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision
Previous revision
software:win:sec:enabletls [2015/05/13 00:52]
– создано root
software:win:sec:enabletls [2022/02/05 04:38] (current)
root
Line 16: Line 16:
  
 ===== Алгоритмы шифрования и обмена ключами ===== ===== Алгоритмы шифрования и обмена ключами =====
 +**Предупреждение**: микрософт довольно часто меняет эти параметры при установке обновлений!\\
 +Следите/восстанавливайте значение после установки обновлений самостоятельно.\\
 +
 +
 В реестре, по адресу: В реестре, по адресу:
 <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002</code> <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002</code>
Line 58: Line 62:
 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
 +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
 +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
 +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
 +TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 
 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 
 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 
 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Line 80: Line 84:
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
 +TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
 +TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
 +TLS_RSA_WITH_AES_256_GCM_SHA384
 +TLS_RSA_WITH_AES_128_GCM_SHA256
 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256
 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA
Line 90: Line 98:
 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
 TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA
-TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA +TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA</code>
-TLS_RSA_WITH_RC4_128_MD5 +
-SSL_CK_RC4_128_WITH_MD5 +
-SSL_CK_DES_192_EDE3_CBC_WITH_MD5 +
-TLS_RSA_WITH_NULL_SHA256 +
-TLS_RSA_WITH_NULL_SHA</code>+
  
-Если сравнить, то видно что я добавил "сильные связки" и оставил слабые.\\ +Если сравнить, то видно что я добавил "сильные связки" и удалил совсем слабые.\\ 
-Когда я удалил слабые, то Windows Update (который через интернет, а не локальный WSUS) перестал работать, поэтому пришлось вернуть.\\+Когда я удалил некоторые слабые варианты, то Windows Update (который через интернет, а не локальный WSUS) перестал работать, поэтому пришлось вернуть.\\
 Список алгоритмов можно посмотреть тут: gpedit.msc, Конфигурация компьютера, Административные шаблоны, Сеть, Параметры настройки SSL - Порядок комплектов шифров SSL\\ Список алгоритмов можно посмотреть тут: gpedit.msc, Конфигурация компьютера, Административные шаблоны, Сеть, Параметры настройки SSL - Порядок комплектов шифров SSL\\
 в описании этого параметра есть все доступные алгоритмы.\\ в описании этого параметра есть все доступные алгоритмы.\\
Line 133: Line 136:
 при этом 1.1 и 1.2 они оставляют в подвешенном состоянии.\\ при этом 1.1 и 1.2 они оставляют в подвешенном состоянии.\\
  
-**Отключаем SSL2 и SSL3**+==== Отключаем SSL2 и SSL3 ====
 <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
  
Line 154: Line 157:
 "Enabled"=dword:00000000</code> "Enabled"=dword:00000000</code>
  
-**Включаем TLS 1.1 и 1.2**+==== Включаем TLS 1.1 и 1.2 ====
 <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
  
Line 214: Line 217:
  
  
-И на последок, есть такая утилита: [[https://www.nartac.com/Products/IISCrypto/Default.aspx]] +===== Утилита ===== 
-<img src="http://habrastorage.org/getpro/habr/post_images/4bf/243/ebf/4bf243ebfc01431c20aba2e39612514c.png" alt="image"/>+И на последок, есть такая утилита: [[https://www.nartac.com/Products/IISCrypto/Default.aspx]]\\ 
 +{{:software:win:sec:iis_crypto.png|}}
  
  
Line 222: Line 226:
   * Many applications that use schannel are written so that the receiver side assumes application data will be packed into a single packet. This occurs even though the application calls schannel for decryption. The applications ignore a flag that is set by schannel. The flag indicates to the application that there is more data to be decrypted and picked up by the receiver. **This method does not follow the MSDN-prescribed method of using schannel. Because the security update enforces record-splitting, this breaks such applications.**   * Many applications that use schannel are written so that the receiver side assumes application data will be packed into a single packet. This occurs even though the application calls schannel for decryption. The applications ignore a flag that is set by schannel. The flag indicates to the application that there is more data to be decrypted and picked up by the receiver. **This method does not follow the MSDN-prescribed method of using schannel. Because the security update enforces record-splitting, this breaks such applications.**
   * **Broken applications include Microsoft products and in-box components.** The following are examples of scenarios that may be broken when the SendExtraRecord registry value is set to 1:   * **Broken applications include Microsoft products and in-box components.** The following are examples of scenarios that may be broken when the SendExtraRecord registry value is set to 1:
-  ** All SQL products, and applications that are built onto SQL. + * All SQL products, and applications that are built onto SQL.\\ 
-  ** Terminal Servers that have Network Level Authentication (NLA) turned on. By default, NLA is enabled in Windows Vista and later versions of Windows. + * Terminal Servers that have Network Level Authentication (NLA) turned on. By default, NLA is enabled in Windows Vista and later versions of Windows.\\ 
-  ** Some Routing Remote Access Service (RRAS) scenarios.+ * Some Routing Remote Access Service (RRAS) scenarios.\\ 
 + 
  
 +{{tag>software howto windows security tls WebDAV}}
software/win/sec/enabletls.1431478375.txt.gz · Last modified: 2015/05/13 00:52 by root