Здесь показаны различия между двумя версиями данной страницы.
Следующая версия | Предыдущая версия | ||
ru:software:win:sec:enabletls [2015/05/13 00:52] root создано |
ru:software:win:sec:enabletls [2015/11/14 22:49] (текущий) root [Алгоритмы шифрования и обмена ключами] |
||
---|---|---|---|
Строка 16: | Строка 16: | ||
===== Алгоритмы шифрования и обмена ключами ===== | ===== Алгоритмы шифрования и обмена ключами ===== | ||
+ | **Предупреждение**: микрософт довольно часто меняет эти параметры при установке обновлений!\\ | ||
+ | Следите/восстанавливайте значение после установки обновлений самостоятельно.\\ | ||
+ | |||
+ | |||
В реестре, по адресу: | В реестре, по адресу: | ||
<code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002</code> | <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002</code> | ||
Строка 58: | Строка 62: | ||
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | ||
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | ||
+ | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | ||
+ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | ||
+ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | ||
+ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | ||
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | ||
- | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | ||
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | ||
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | ||
- | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | ||
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | ||
- | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | ||
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | ||
- | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | ||
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | ||
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | ||
Строка 80: | Строка 84: | ||
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | ||
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | ||
+ | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | ||
+ | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | ||
+ | TLS_RSA_WITH_AES_256_GCM_SHA384 | ||
+ | TLS_RSA_WITH_AES_128_GCM_SHA256 | ||
TLS_RSA_WITH_AES_256_CBC_SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | ||
TLS_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | ||
Строка 90: | Строка 98: | ||
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | ||
TLS_DHE_DSS_WITH_AES_128_CBC_SHA | TLS_DHE_DSS_WITH_AES_128_CBC_SHA | ||
- | TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | + | TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA</code> |
- | TLS_RSA_WITH_RC4_128_MD5 | + | |
- | SSL_CK_RC4_128_WITH_MD5 | + | |
- | SSL_CK_DES_192_EDE3_CBC_WITH_MD5 | + | |
- | TLS_RSA_WITH_NULL_SHA256 | + | |
- | TLS_RSA_WITH_NULL_SHA</code> | + | |
- | Если сравнить, то видно что я добавил "сильные связки" и оставил слабые.\\ | + | Если сравнить, то видно что я добавил "сильные связки" и удалил совсем слабые.\\ |
- | Когда я удалил слабые, то Windows Update (который через интернет, а не локальный WSUS) перестал работать, поэтому пришлось вернуть.\\ | + | Когда я удалил некоторые слабые варианты, то Windows Update (который через интернет, а не локальный WSUS) перестал работать, поэтому пришлось вернуть.\\ |
Список алгоритмов можно посмотреть тут: gpedit.msc, Конфигурация компьютера, Административные шаблоны, Сеть, Параметры настройки SSL - Порядок комплектов шифров SSL\\ | Список алгоритмов можно посмотреть тут: gpedit.msc, Конфигурация компьютера, Административные шаблоны, Сеть, Параметры настройки SSL - Порядок комплектов шифров SSL\\ | ||
в описании этого параметра есть все доступные алгоритмы.\\ | в описании этого параметра есть все доступные алгоритмы.\\ | ||
Строка 133: | Строка 136: | ||
при этом 1.1 и 1.2 они оставляют в подвешенном состоянии.\\ | при этом 1.1 и 1.2 они оставляют в подвешенном состоянии.\\ | ||
- | **Отключаем SSL2 и SSL3** | + | ==== Отключаем SSL2 и SSL3 ==== |
<code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] | <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] | ||
Строка 154: | Строка 157: | ||
"Enabled"=dword:00000000</code> | "Enabled"=dword:00000000</code> | ||
- | **Включаем TLS 1.1 и 1.2** | + | ==== Включаем TLS 1.1 и 1.2 ==== |
<code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] | <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] | ||
Строка 214: | Строка 217: | ||
- | И на последок, есть такая утилита: [[https://www.nartac.com/Products/IISCrypto/Default.aspx]] | + | ===== Утилита ===== |
- | <img src="http://habrastorage.org/getpro/habr/post_images/4bf/243/ebf/4bf243ebfc01431c20aba2e39612514c.png" alt="image"/> | + | И на последок, есть такая утилита: [[https://www.nartac.com/Products/IISCrypto/Default.aspx]]\\ |
+ | {{:ru:software:win:sec:iis_crypto.png|}} | ||
Строка 222: | Строка 226: | ||
* Many applications that use schannel are written so that the receiver side assumes application data will be packed into a single packet. This occurs even though the application calls schannel for decryption. The applications ignore a flag that is set by schannel. The flag indicates to the application that there is more data to be decrypted and picked up by the receiver. **This method does not follow the MSDN-prescribed method of using schannel. Because the security update enforces record-splitting, this breaks such applications.** | * Many applications that use schannel are written so that the receiver side assumes application data will be packed into a single packet. This occurs even though the application calls schannel for decryption. The applications ignore a flag that is set by schannel. The flag indicates to the application that there is more data to be decrypted and picked up by the receiver. **This method does not follow the MSDN-prescribed method of using schannel. Because the security update enforces record-splitting, this breaks such applications.** | ||
* **Broken applications include Microsoft products and in-box components.** The following are examples of scenarios that may be broken when the SendExtraRecord registry value is set to 1: | * **Broken applications include Microsoft products and in-box components.** The following are examples of scenarios that may be broken when the SendExtraRecord registry value is set to 1: | ||
- | ** All SQL products, and applications that are built onto SQL. | + | * All SQL products, and applications that are built onto SQL.\\ |
- | ** Terminal Servers that have Network Level Authentication (NLA) turned on. By default, NLA is enabled in Windows Vista and later versions of Windows. | + | * Terminal Servers that have Network Level Authentication (NLA) turned on. By default, NLA is enabled in Windows Vista and later versions of Windows.\\ |
- | ** Some Routing Remote Access Service (RRAS) scenarios. | + | * Some Routing Remote Access Service (RRAS) scenarios.\\ |