Administración de Seguridad de la capa de transporte (TLS)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Configuración del orden de los conjuntos de algoritmos criptográficos de la TLS

Distintas versiones de Windows admiten diferentes conjuntos de cifrado TLS y orden de prioridad. Consulte Conjuntos de algoritmos criptográficos en TLS/SSL (SChannel SSP) para ver el orden predeterminado ofrecido por el proveedor de Microsoft SChannel en diferentes versiones de Windows.

Nota:

También puede modificar la lista de conjuntos de algoritmos criptográficos mediante funciones de CNG; consulte Priorización de los conjuntos de algoritmos criptográficos de SChannel para ver más detalles.

Los cambios en el orden del conjunto de algoritmos criptográficos de la TLS surtirán efecto en el siguiente arranque. Hasta que se reinicie o apague, el orden existente estará en vigor.

Advertencia

No se admite la actualización de la configuración del registro para el orden de prioridad predeterminado, y se puede restablecer con las actualizaciones de mantenimiento.

Configuración del orden de los conjuntos de algoritmos criptográficos de la TLS mediante la directiva de grupo

Puede usar los valores de la directiva de grupo de los conjuntos de algoritmos criptográficos de SSL para configurar el orden predeterminado de los conjuntos de algoritmos criptográficos de la TLS.

  1. En la Consola de administración de directivas de grupo, vaya a Configuración del equipo>Plantillas administrativas>Red>Valores de configuración de SSL.

  2. Haga doble clic en Orden de conjuntos de algoritmos criptográficos de SSL y, después, haga clic en la opción Habilitado.

  3. Haga clic con el botón derecho en el cuadro Conjuntos de algoritmos criptográficos de SSL y seleccione Seleccionar todo en el menú emergente.

    Group Policy setting

  4. Haga clic con el botón derecho en el texto seleccionado y seleccione copiar en el menú emergente.

  5. Pegue el texto en un editor de texto, como notepad.exe, y actualice con la nueva lista del orden de conjuntos de algoritmos criptográficos.

    Nota:

    La lista del orden de conjuntos de algoritmos criptográficos de TLS debe estar en un formato estrictamente delimitado por comas. Cada cadena de algoritmo criptográfico terminará con una coma (,) en su lado derecho.

    Además, la lista de conjuntos de algoritmos criptográficos está limitada a 1023 caracteres.

  6. Reemplace la lista de Conjuntos de algoritmos criptográficos de SSL por la lista ordenada y actualizada.

  7. Haga clic en Aceptar o en Aplicar.

Configuración del orden de los conjuntos de algoritmos criptográficos de la TLS mediante MDM

El CSP de directivas de Windows 10 admite la configuración de los conjuntos de algoritmos criptográficos de la TLS. Consulte Cryptography/TLSCipherSuites para más información.

Configuración del orden de conjuntos de algoritmos criptográficos de la TLS mediante cmdlets de PowerShell de la TLS

El módulo de PowerShell de la TLS admite la obtención de la lista ordenada de conjuntos de algoritmos criptográficos de la TLS, la deshabilitación de un conjunto de algoritmo criptográfico y la habilitación de un conjunto de algoritmo criptográfico. Consulte Módulo de la TLS para más información.

Configuración del orden de curva de ECC en TLS

A partir de Windows 10 y Windows Server 2016, el orden de curva de ECC se puede configurar independientemente del orden del conjunto de algoritmos criptográficos. Si la lista de órdenes de conjuntos de algoritmos criptográficos de la TLS tiene sufijos de curva elíptica, se reemplazarán por el nuevo orden de prioridad de curva elíptica cuando se habilite. Esto permite a las organizaciones usar un objeto de directiva de grupo para configurar diferentes versiones de Windows con el mismo orden de conjuntos de algoritmos criptográficos.

Nota

Antes de Windows 10, las cadenas de los conjuntos de algoritmos criptográficos se anexaban con la curva elíptica para determinar la prioridad de la curva.

Administración de curvas ECC de Windows mediante CertUtil

A partir de Windows 10 y Windows Server 2016, Windows proporciona administración de parámetros de curva elíptica a través de la utilidad de línea de comandos certutil.exe. Los parámetros de curva elíptica se almacenan en bcryptprimitives.dll. Con certutil.exe, los administradores pueden agregar y quitar parámetros de curva hacia y desde Windows, respectivamente. Certutil.exe almacena los parámetros de curva de forma segura en el registro. Windows puede empezar a usar los parámetros de curva por el nombre asociado a la curva.

Mostrar curvas registradas

Use el siguiente comando certutil.exe para mostrar una lista de las curvas registradas para el equipo actual.

certutil.exe –displayEccCurve

Certutil display curves

Figura 1 Salida de certutil.exe para mostrar la lista de curvas registradas.

Agregar una nueva curva

Las organizaciones pueden crear y usar parámetros de curva investigados por otras entidades de confianza. Los administradores que quieran usar estas nuevas curvas en Windows deben agregar la curva. Use el siguiente comando de certutil.exe para agregar una curva al equipo actual:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • El argumento curveName representa el nombre de la curva en la que se agregaron los parámetros de curva.
  • El argumento curveParameters representa el nombre de archivo de un certificado que contiene los parámetros de las curvas que desea agregar.
  • El argumento curveOid representa un nombre de archivo de un certificado que contiene el OID de los parámetros de curva que desea agregar (opcional).
  • El argumento curveType representa un valor decimal de la curva con nombre del Registro de curva con nombre de EC (opcional).

Certutil add curves

Figura 2 Agregar una curva mediante certutil.exe.

Eliminar una curva agregada previamente

Los administradores pueden quitar una curva agregada previamente mediante el siguiente comando de certutil.exe:

certutil.exe –deleteEccCurve curveName

Windows no puede usar una curva con nombre después de que un administrador quite la curva del equipo.

Administración de curvas ECC de Windows mediante la directiva de grupo

Las organizaciones pueden distribuir parámetros de curva a equipos empresariales y unidos a un dominio mediante la directiva de grupo y la extensión del Registro de preferencias de la directiva de grupo. El proceso para distribuir una curva es:

  1. En Windows 10 y Windows Server 2016, use certutil.exe para agregar una nueva curva con nombre y registrada a Windows.

  2. Desde ese mismo equipo, abra la Consola de administración de directivas de grupo (GPMC), cree un nuevo objeto de directiva de grupo y edítelo.

  3. Vaya a Configuración de equipo\Preferencias\Configuración de Windows\Registro. Haga clic con el botón derecho en Registro. Mantenga el puntero sobre Nuevo y seleccione Elemento de colección. Cambie el nombre del elemento de colección para que coincida con el nombre de la curva. Creará un elemento de colección del Registro para cada clave del Registro en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configure la colección del Registro de preferencias de directiva de grupo recién creada agregando un nuevo elemento del Registro para cada valor del Registro enumerado en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName.

  5. Implemente el objeto de directiva de grupo que contiene un elemento de colección del Registro de la directiva de grupo en equipos de Windows 10 y Windows Server 2016 que deben recibir las nuevas curvas con nombre.

    Screenshot of the Preferences tab of the Group Policy Management Editor.

    Figura 3 Uso de preferencias de directiva de grupo para distribuir curvas

Administración del orden de ECC en la TLS

A partir de Windows 10 y Windows Server 2016, se pueden usar los valores de directiva de grupo de orden de curva de ECC para configurar el orden de curva de ECC en la TLS. Con el ECC genérico y esta configuración, las organizaciones pueden agregar sus propias curvas con nombre de confianza (aprobadas para su uso con TLS) al sistema operativo y, después, agregar esas curvas con nombre a la configuración de directiva de grupo de la prioridad de curva para asegurarse de que se usan en futuros protocolos de enlace de TLS. Las nuevas listas de prioridad de curva se activan en el siguiente reinicio después de recibir la configuración de directiva.

Screenshot of the EEC Curve Order dialog box.

Figura 4 Administración de la prioridad de curva de TLS mediante la directiva de grupo