Administración de Seguridad de la capa de transporte (TLS)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Configuración del orden del conjunto de cifrado TLS

Distintas versiones de Windows admiten diferentes conjuntos de cifrado TLS y orden de prioridad. Consulte Conjuntos de cifrado en TLS/SSL (Schannel SSP) para obtener el orden predeterminado admitido por el proveedor de Microsoft Schannel en diferentes versiones de Windows.

Nota

También puede modificar la lista de conjuntos de cifrado mediante funciones de CNG, consulte Priorización de conjuntos de cifrado de Schannel para obtener más información.

Los cambios en el orden del conjunto de cifrado TLS surtirán efecto en el siguiente arranque. Hasta que se reinicie o apague, el orden existente estará en vigor.

Advertencia

No se admite la actualización de la configuración del Registro para el orden de prioridad predeterminado y se puede restablecer con las actualizaciones de mantenimiento.

Configuración del pedido del conjunto de cifrado TLS mediante directiva de grupo

Puede usar la configuración de orden del conjunto de cifrado SSL directiva de grupo para configurar el orden predeterminado del conjunto de cifrado TLS.

  1. En la consola de administración de directiva de grupo, vaya a Configuración> del equipoPlantillas> administrativasConfiguración de SSL dered>.

  2. Haga doble clic en Orden del conjunto de cifrado SSL y, a continuación, haga clic en la opción Habilitado .

  3. Haga clic con el botón derecho en el cuadro Conjuntos de cifrado SSL y seleccione Seleccionar todo en el menú emergente.

    configuración de directiva de grupo

  4. Haga clic con el botón derecho en el texto seleccionado y seleccione Copiar en el menú emergente.

  5. Pegue el texto en un editor de texto, como notepad.exe y actualice con la nueva lista de pedidos del conjunto de cifrado.

    Nota

    La lista de pedidos del conjunto de cifrado TLS debe tener un formato delimitado por comas estricto. Cada cadena del conjunto de cifrado terminará con una coma (,) en el lado derecho de ella.

    Además, la lista de conjuntos de cifrado está limitada a 1023 caracteres.

  6. Reemplace la lista de conjuntos de cifrado SSL por la lista ordenada actualizada.

  7. Haga clic en Aceptar o en Aplicar.

Configuración del pedido del conjunto de cifrado TLS mediante MDM

El CSP de directivas de Windows 10 admite la configuración de los conjuntos de cifrado TLS. Consulte Cryptography/TLSCipherSuites para obtener más información.

Configuración del pedido del conjunto de cifrado TLS mediante cmdlets de PowerShell de TLS

El módulo tls de PowerShell admite la obtención de la lista ordenada de conjuntos de cifrado TLS, la deshabilitación de un conjunto de cifrado y la habilitación de un conjunto de cifrado. Consulte Módulo TLS para obtener más información.

Configuración del orden de curva TLS ECC

A partir de Windows 10 Windows Server 2016 & , el orden de curva ECC se puede configurar independientemente del orden del conjunto de cifrado. Si la lista de pedidos del conjunto de cifrado TLS tiene sufijos de curva elíptica, se reemplazarán por el nuevo orden de prioridad de curva elíptica, cuando se habilite. Esto permite a las organizaciones usar un objeto directiva de grupo para configurar diferentes versiones de Windows con el mismo orden de conjuntos de cifrado.

Nota

Antes de Windows 10, las cadenas del conjunto de cifrado se anexaban con la curva elíptica para determinar la prioridad de la curva.

Administración de curvas ECC de Windows mediante CertUtil

A partir de Windows 10 y Windows Server 2016, Windows proporciona administración de parámetros de curva elíptica a través de la utilidad de línea de comandos certutil.exe. Los parámetros de curva elíptica se almacenan en el bcryptprimitives.dll. Con certutil.exe, los administradores pueden agregar y quitar parámetros de curva hacia y desde Windows, respectivamente. Certutil.exe almacena los parámetros de curva de forma segura en el registro. Windows puede empezar a usar los parámetros de curva por el nombre asociado a la curva.

Mostrar curvas registradas

Use el siguiente comando certutil.exe para mostrar una lista de curvas registradas para el equipo actual.

certutil.exe –displayEccCurve

Curvas de visualización certutil

Figura 1 Certutil.exe salida para mostrar la lista de curvas registradas.

Adición de una nueva curva

Las organizaciones pueden crear y usar parámetros de curva investigados por otras entidades de confianza. Los administradores que quieran usar estas nuevas curvas en Windows deben agregar la curva. Use el siguiente comando certutil.exe para agregar una curva al equipo actual:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • El argumento curveName representa el nombre de la curva en la que se agregaron los parámetros de curva.
  • El argumento curveParameters representa el nombre de archivo de un certificado que contiene los parámetros de las curvas que desea agregar.
  • El argumento curveOid representa un nombre de archivo de un certificado que contiene el OID de los parámetros de curva que desea agregar (opcional).
  • El argumento curveType representa un valor decimal de la curva con nombre de EC del Registro de curva con nombre EC (opcional).

Agregar curvas de Certutil

Figura 2 Adición de una curva mediante certutil.exe.

Quitar una curva agregada previamente

Los administradores pueden quitar una curva agregada previamente mediante el siguiente comando de certutil.exe:

Certutil.exe –deleteEccCurve curveName

Windows no puede usar una curva con nombre después de que un administrador quite la curva del equipo.

Administración de curvas ECC de Windows con directiva de grupo

Las organizaciones pueden distribuir parámetros de curva a equipos empresariales, unidos a un dominio mediante directiva de grupo y la extensión del Registro de preferencias de directiva de grupo. El proceso para distribuir una curva es:

  1. En Windows 10 y Windows Server 2016, use certutil.exe para agregar una nueva curva con nombre registrada a Windows.

  2. Desde ese mismo equipo, abra la consola de administración de directiva de grupo (GPMC), cree un nuevo objeto directiva de grupo y edítelo.

  3. Vaya a Configuración del equipo| Preferencias| Configuración de Windows| Registro. Haga clic con el botón derecho en Registro. Mantenga el puntero sobre Nuevo y seleccione Elemento de colección. Cambie el nombre del elemento de colección para que coincida con el nombre de la curva. Creará un elemento de colección del Registro para cada clave del Registro en HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configure la colección del Registro de preferencias directiva de grupo recién creada agregando un nuevo elemento del Registro para cada valor del Registro enumerado en HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Implemente el objeto directiva de grupo que contiene directiva de grupo elemento Colección del Registro en Windows 10 y Windows Server 2016 equipos que deben recibir las nuevas curvas con nombre.

    Captura de pantalla de la pestaña Preferencias del Editor de administración de directiva de grupo.

    Figura 3 Uso de preferencias de directiva de grupo para distribuir curvas

Administración del orden DE TLS ECC

A partir de Windows 10 y Windows Server 2016, se pueden usar las opciones de directiva de grupo de orden de curva ECC ECC predeterminadas. Con ECC genérico y esta configuración, las organizaciones pueden agregar sus propias curvas con nombre de confianza (aprobadas para su uso con TLS) al sistema operativo y, a continuación, agregar esas curvas con nombre a la configuración de prioridad de curva directiva de grupo para asegurarse de que se usan en futuros protocolos de enlace TLS. Las nuevas listas de prioridad de curva se activan en el siguiente reinicio después de recibir la configuración de directiva.

Captura de pantalla del cuadro de diálogo Orden de curva CEE.

Figura 4 Administración de la prioridad de la curva TLS mediante directiva de grupo