Teilen über


Richtlinien-CSP – Kryptografie

AllowFipsAlgorithmPolicy

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/AllowFipsAlgorithmPolicy

Lässt die FIPS-Richtlinie (Federal Information Processing Standard) zu oder verbietet sie.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Zulassen
0 (Standard) Blockieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Systemkryptografie: Verwenden von FIPS-kompatiblen Algorithmen für Verschlüsselung, Hashing und Signierung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

ConfigureEllipticCurveCryptography

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/ConfigureEllipticCurveCryptography

Diese Richtlinieneinstellung bestimmt die Prioritätsreihenfolge von ECC-Kurven, die mit ECDHE-Verschlüsselungssammlungen verwendet werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden ECC-Kurven in der angegebenen Reihenfolge priorisiert. (Geben Sie einen Kurvennamen pro Zeile ein)

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die standardmäßige ECC-Kurvenreihenfolge verwendet.

Standardkurvenreihenfolge

Kurve25519 NistP256 NistP384

Verwenden Sie den folgenden Befehl, um alle im System unterstützten Kurven anzuzeigen:

CertUtil.exe -DisplayEccCurve.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ;)

Gruppenrichtlinienzuordnung:

Name Wert
Name SSLCurveOrder
Anzeigename ECC-Kurvenreihenfolge
Location Computerkonfiguration
Pfad Netzwerk-SSL-Konfigurationseinstellungen >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
ADMX-Dateiname CipherSuiteOrder.admx

ConfigureSystemCryptographyForceStrongKeyProtection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/ConfigureSystemCryptographyForceStrongKeyProtection

Systemkryptografie: Erzwingt starken Schlüsselschutz für Benutzerschlüssel, die auf dem Computer gespeichert sind. Letzter Schreibvorgang gewinnt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 2

Zulässige Werte:

Flag Beschreibung
8 Ein App-Container hat auf einen mittleren Schlüssel zugegriffen, der nicht stark geschützt ist. Beispielsweise ein Schlüssel, der nur für die Benutzereinwilligung vorgesehen ist oder durch ein Kennwort oder einen Fingerabdruck geschützt ist.
2 (Standard) Erzwingen eines hohen Schutzes.
1 Zeigen Sie die benutzerdefinierte Benutzeroberfläche mit starkem Schlüssel nach Bedarf an.

OverrideMinimumEnabledDTLSVersionClient

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledDTLSVersionClient

Überschreiben Sie die minimale aktivierte TLS-Version für die Clientrolle. Letzter Schreibvorgang gewinnt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

OverrideMinimumEnabledDTLSVersionServer

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledDTLSVersionServer

Überschreiben Sie die minimale aktivierte TLS-Version für die Serverrolle. Letzter Schreibvorgang gewinnt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

OverrideMinimumEnabledTLSVersionClient

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledTLSVersionClient

Überschreiben Sie die minimale aktivierte TLS-Version für die Clientrolle. Letzter Schreibvorgang gewinnt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

OverrideMinimumEnabledTLSVersionServer

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledTLSVersionServer

Überschreiben Sie die minimale aktivierte TLS-Version für die Serverrolle. Letzter Schreibvorgang gewinnt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

TLSCipherSuites

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Cryptography/TLSCipherSuites

Diese Richtlinieneinstellung bestimmt die Verschlüsselungssammlungen, die von Ssl (Secure Socket Layer) verwendet werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden SSL-Verschlüsselungssammlungen in der angegebenen Reihenfolge priorisiert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardreihenfolge der Verschlüsselungssammlung verwendet.

Link für alle cipherSuites: https://go.microsoft.com/fwlink/?LinkId=517265

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ;)

Gruppenrichtlinienzuordnung:

Name Wert
Name SSLCipherSuiteOrder
Anzeigename SSL Cipher Suite-Reihenfolge
Location Computerkonfiguration
Pfad Netzwerk-SSL-Konfigurationseinstellungen >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
ADMX-Dateiname CipherSuiteOrder.admx

Dienstanbieter für die Richtlinienkonfiguration