Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Následující dokumentace obsahuje informace o tom, jak zakázat a povolit určité protokoly TLS/SSL a šifrovací sady, které služba Active Directory Federation Services (AD FS) používá.
TLS/SSL, Schannel a šifrovací sady ve službě AD FS
Protokol TLS (Transport Layer Security) poskytuje šifrovanou zabezpečenou komunikaci přes síť. Protokol SSL (Secure Sockets Layer) šifruje výměny citlivých dat přenášené mezi webovým serverem a webovým prohlížečem podobným protokolu TLS. Služba AD FS (Active Directory Federation Services) používá tyto protokoly pro komunikaci. Dnes existuje několik verzí těchto protokolů.
Security Channel (Schannel) je zprostředkovatel podpory zabezpečení (SSP), který implementuje standardní ověřovací protokoly SSL, TLS a DTLS. Rozhraní SSPI (Security Support Provider Interface) je rozhraní API používané systémy Windows k provádění funkcí souvisejících se zabezpečením, včetně ověřování. SSPI funguje jako společné rozhraní několika poskytovatelů sdílených služeb, včetně Zprostředkovatele sdílených služeb Schannel.
Šifrovací sada je sada kryptografických algoritmů. Implementace Schannel SSP protokolů TLS/SSL používá algoritmy ze šifrovací sady k vytvoření klíčů a šifrování informací. Sada šifer určuje jeden algoritmus pro každou z následujících úloh:
- Výměna klíčů
- Hromadné šifrování
- Ověřování zpráv
Služba AD FS používá Schannel.dll k provádění zabezpečených komunikačních interakcí. Služba AD FS v současné době podporuje všechny protokoly a šifrovací sady, které Schannel.dll podporují.
Správa protokolů TLS/SSL a šifrovacích sad
Důležité
Tato část obsahuje kroky, které vám řeknou, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky pečlivě dodržujete.
Mějte na paměti, že změna výchozího nastavení zabezpečení pro SCHANNEL může přerušit nebo zabránit komunikaci mezi určitými klienty a servery. K tomu dochází v případě, že je vyžadována zabezpečená komunikace a nemají protokol pro vyjednávání komunikace.
Pokud provádíte tyto změny, musíte je použít na všechny servery AD FS ve vaší farmě. Po použití těchto změn se vyžaduje restartování.
V dnešní době se posílení zabezpečení serverů a odebrání starších nebo slabých šifrovacích sad stává pro mnoho organizací hlavní prioritou. K dispozici jsou softwarové sady, které testují vaše servery a poskytují podrobné informace o těchto protokolech a sadách. Pokud chcete zůstat v souladu nebo dosáhnout zabezpečených hodnocení, odebrání nebo zakázání slabších protokolů nebo šifrovacích sad se stala nutností. Zbývající část tohoto dokumentu obsahuje pokyny k povolení nebo zakázání určitých protokolů a šifrovacích sad.
Následující klíče registru jsou umístěny ve stejném umístění: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. K povolení nebo zakázání těchto protokolů a šifrovacích sad použijte Editor registru nebo PowerShell.
Povolení a zakázání PROTOKOLU SSL 3.0
Pomocí následujících klíčů registru a jejich hodnot povolte a zakažte SSL 3.0.
Povolení SSL 3.0
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server | Povoleno | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server | VypnutoVeVýchozímNastavení | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0/Klient | Povoleno | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0/Klient | VypnutoVeVýchozímNastavení | 00000000 |
Zakázání SSL 3.0
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server | VypnutoVeVýchozímNastavení | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0/Klient | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0/Klient | VypnutoVeVýchozímNastavení | 00000001 |
Zakázání SSL 3.0 pomocí PowerShellu
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'SSL 3.0 has been disabled.'
Povolení a zakázání protokolu TLS 1.0
K povolení a zakázání protokolu TLS 1.0 použijte následující klíče registru a jejich hodnoty.
Důležité
Zakázáním protokolu TLS 1.0 dojde k narušení důvěryhodnosti WAP na službu AD FS. Pokud zakážete protokol TLS 1.0, měli byste pro své aplikace povolit silné ověřování. Další informace naleznete v tématu Povolení silného ověřování pro aplikace .NET
Povolení protokolu TLS 1.0
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server | Povoleno | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server | VypnutoVeVýchozímNastavení | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Klient | Povoleno | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Klient | VypnutoVeVýchozímNastavení | 00000000 |
Zakázání protokolu TLS 1.0
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server | Povoleno"=00000000 | |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server | VypnutoVeVýchozímNastavení | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Klient | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Klient | VypnutoVeVýchozímNastavení | 00000001 |
Zakázání protokolu TLS 1.0 pomocí PowerShellu
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.0 has been disabled.'
Povolení a zakázání protokolu TLS 1.1
K povolení a zakázání protokolu TLS 1.1 použijte následující klíče registru a jejich hodnoty.
Povolení protokolu TLS 1.1
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server | Povoleno | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server | VypnutoVeVýchozímNastavení | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Klient | Povoleno | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Klient | VypnutoVeVýchozímNastavení | 00000000 |
Zakázání protokolu TLS 1.1
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server | VypnutoVeVýchozímNastavení | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Klient | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Klient | VypnutoVeVýchozímNastavení | 00000001 |
Zakázání protokolu TLS 1.1 pomocí PowerShellu
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.1 has been disabled.'
Zakázání protokolu TLS 1.2
Protokol TLS 1.2 je ve výchozím nastavení povolený od Windows Serveru 2012. K zakázání protokolu TLS 1.2 můžete použít následující klíče registru a jejich hodnoty.
Výstraha
Zakázání protokolu TLS 1.2 se nedoporučuje, protože může narušit funkčnost jiných komponent na serveru, který se spoléhá na tento protokol. Například služby, jako je Microsoft Azure AD Connect (Azure AD Sync), vyžadují, aby správně fungoval protokol TLS 1.2. Zakázáním může dojít k selhání služeb nebo snížení funkčnosti.
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server | VypnutoVeVýchozímNastavení | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Klient | Povoleno | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Klient | VypnutoVeVýchozímNastavení | 00000001 |
Zakázání protokolu TLS 1.2 pomocí PowerShellu
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.2 has been disabled.'
Povolení nebo zakázání hodnot hash, šifer a šifrovacích sad
Řízení šifer, hodnot hash a algoritmů výměny klíčů, kromě velikosti klíče, prostřednictvím registru se nepodporuje. Hodnoty hash, šifry a algoritmy výměny klíčů se řídí pomocí PowerShellu, MDM nebo řazení šifrovací sady.
Úplný seznam podporovaných šifrovacích sad najdete v tématu Šifrovací sady v TLS/SSL (Schannel SSP). Tento článek obsahuje tabulku sad, které jsou ve výchozím nastavení povolené, a zobrazuje, které sady jsou podporované, ale ve výchozím nastavení nejsou povolené. Pokud chcete určit prioritu šifrovacích sad, přečtěte si téma Stanovení priority šifrovacích sad Schannel.
Povolení silného ověřování pro aplikace .NET
Aplikace .NET Framework 3.5/4.0/4.5.x mohou přepnout výchozí protokol na protokol TLS 1.2 povolením klíče registru SchUseStrongCrypto. Tyto klíče registru vynucují, aby aplikace .NET používaly protokol TLS 1.2.
Důležité
Pro službu AD FS ve Windows Serveru 2016 a Windows Serveru 2012 R2 musíte použít klíč rozhraní .NET Framework 4.0/4.5.x: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Pro rozhraní .NET Framework 3.5 použijte následující klíč registru:
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727 | SchUseStrongCrypto | 00000001 |
Pro rozhraní .NET Framework 4.0/4.5.x použijte následující klíč registru:
| Cesta | Název hodnoty | Údaj hodnoty |
|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 | SchUseStrongCrypto | 00000001 |
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null