Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alábbi dokumentáció az Active Directory összevonási szolgáltatások (AD FS) által használt egyes TLS-/SSL-protokollok és titkosítási csomagok letiltásáról és engedélyezéséről nyújt tájékoztatást.
TLS/SSL, Schannel és titkosítási csomagok az AD FS-ben
A Transport Layer Security (TLS) protokoll titkosított biztonságos kommunikációt biztosít a hálózaton keresztül. A Secure Sockets Layer (SSL) protokoll titkosítja a webkiszolgáló és a TLS-hez hasonló webböngésző között továbbított bizalmas adatcseréket. Az Active Directory összevonási szolgáltatások (AD FS) ezeket a protokollokat használják kommunikációhoz. Ma ezeknek a protokolloknak több verziója is létezik.
A Security Channel (Schannel) egy biztonsági támogatási szolgáltató (SSP), amely implementálja az SSL, a TLS és a DTLS internetes szabványos hitelesítési protokollokat. A biztonsági támogatási szolgáltató felülete (SSPI) egy OLYAN API, amelyet a Windows-rendszerek használnak a biztonsággal kapcsolatos funkciók, többek között a hitelesítés végrehajtására. Az SSPI számos SSP közös felületeként működik, beleértve a Schannel SSP-t is.
A titkosítási csomag titkosítási algoritmusok készlete. A TLS/SSL protokollok Schannel SSP-implementációja titkosítási csomagból származó algoritmusokkal hoz létre kulcsokat és titkosítja az információkat. A titkosítási csomag egy algoritmust határoz meg az alábbi feladatok mindegyikéhez:
- Kulcscsere
- Tömeges titkosítás
- Üzenethitelesítés
Az AD FS Schannel.dll használ a biztonságos kommunikációs interakciók végrehajtásához. Az AD FS jelenleg az összes olyan protokollt és titkosítási csomagot támogatja, amelyet Schannel.dll támogat.
A TLS/SSL protokollok és titkosítási csomagok kezelése
Fontos
Ez a szakasz a beállításjegyzék módosításának módját ismerteti. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket.
Vegye figyelembe, hogy az SCHANNEL alapértelmezett biztonsági beállításainak módosítása megszakíthatja vagy megakadályozhatja bizonyos ügyfelek és kiszolgálók közötti kommunikációt. Ez akkor fordul elő, ha biztonságos kommunikációra van szükség, és nem rendelkeznek protokollal a kommunikáció egyeztetéséhez.
Ha ezeket a módosításokat alkalmazza, azokat a farm összes AD FS-kiszolgálójára alkalmazni kell. A módosítások alkalmazása után újra kell indítani.
Napjainkban a kiszolgálók megerősödése és a régebbi vagy gyenge titkosítási csomagok eltávolítása számos szervezet számára kiemelt prioritássá válik. Olyan szoftvercsomagok érhetők el, amelyek tesztelik a kiszolgálókat, és részletes információkat nyújtanak ezekről a protokollokról és csomagokról. A megfelelő vagy biztonságos minősítések elérése érdekében a gyengébb protokollok vagy titkosítási csomagok eltávolítása vagy letiltása kötelezővé vált. A dokumentum többi része útmutatást nyújt bizonyos protokollok és titkosítási csomagok engedélyezéséhez vagy letiltásához.
A következő beállításkulcsok ugyanabban a helyen találhatók: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. A Beállításszerkesztő vagy a PowerShell használatával engedélyezheti vagy letilthatja ezeket a protokollokat és titkosítási csomagokat.
SSL 3.0 engedélyezése és letiltása
Az SSL 3.0 engedélyezéséhez és letiltásához használja az alábbi beállításkulcsokat és azok értékeit.
SSL 3.0 engedélyezése
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Szerver | Bekapcsolva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Szerver | Alapértelmezetten letiltva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Kliens | Bekapcsolva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Kliens | Alapértelmezetten letiltva | 00000000 |
Tiltsa le az SSL 3.0-t
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Szerver | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Szerver | Alapértelmezetten letiltva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Kliens | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Kliens | Alapértelmezetten letiltva | 00000001 |
Az SSL 3.0 letiltása a PowerShell használatával
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'SSL 3.0 has been disabled.'
A TLS 1.0 engedélyezése és letiltása
A TLS 1.0 engedélyezéséhez és letiltásához használja az alábbi beállításkulcsokat és azok értékeit.
Fontos
A TLS 1.0 letiltása megszakítja a WAP és az AD FS közötti megbízhatóságot. Ha letiltja a TLS 1.0-t, engedélyeznie kell az erős hitelesítést az alkalmazásokhoz. További információ: Erős hitelesítés engedélyezése .NET-alkalmazásokhoz
A TLS 1.0 engedélyezése
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Szerver | Bekapcsolva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Szerver | Alapértelmezetten letiltva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Ügyfél | Bekapcsolva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Ügyfél | Alapértelmezetten letiltva | 00000000 |
TLS 1.0 letiltása
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Szerver | Engedélyezve"=00000000 | |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Szerver | Alapértelmezetten letiltva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Ügyfél | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Ügyfél | Alapértelmezetten letiltva | 00000001 |
A TLS 1.0 letiltása a PowerShell használatával
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.0 has been disabled.'
A TLS 1.1 engedélyezése és letiltása
A TLS 1.1 engedélyezéséhez és letiltásához használja az alábbi beállításkulcsokat és azok értékeit.
A TLS 1.1 engedélyezése
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Szerver | Bekapcsolva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Szerver | Alapértelmezetten letiltva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Kliens | Bekapcsolva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Kliens | Alapértelmezetten letiltva | 00000000 |
TLS 1.1 letiltása
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Szerver | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Szerver | Alapértelmezetten letiltva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Kliens | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Kliens | Alapértelmezetten letiltva | 00000001 |
A TLS 1.1 letiltása a PowerShell használatával
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.1 has been disabled.'
TLS 1.2 letiltása
A TLS 1.2 alapértelmezés szerint engedélyezve van a Windows Server 2012-től kezdve. A TLS 1.2 letiltásához az alábbi beállításkulcsokat és azok értékeit használhatja.
Figyelmeztetés
A TLS 1.2 letiltása nem ajánlott, mivel ez megzavarhatja a protokollt használó kiszolgáló többi összetevőjének működését. Például az olyan szolgáltatások, mint a Microsoft Azure AD Connect (Azure AD Sync) megkövetelik a TLS 1.2 megfelelő működését. A letiltás szolgáltatáshibákat vagy csökkentett funkcionalitást eredményezhet.
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Szerver | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Szerver | Alapértelmezetten letiltva | 00000001 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Kliens | Bekapcsolva | 00000000 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Kliens | Alapértelmezetten letiltva | 00000001 |
A TLS 1.2 letiltása a PowerShell használatával
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.2 has been disabled.'
Kivonatok, titkosítások és titkosítási csomagok engedélyezése vagy letiltása
A kulcsméreten kívüli titkosítások, kivonatok és kulcscsere algoritmusok beállításjegyzéken keresztüli vezérlése nem támogatott. A kivonatokat, a titkos kódokat és a kulcscsere algoritmusokat a PowerShell, az MDM vagy a Cipher Suite Ordering szabályozza.
A támogatott titkosítási csomagok teljes listáját a TLS/SSL titkosítási csomagok (Schannel SSP) című témakörben találja. Ez a cikk az alapértelmezés szerint engedélyezett csomagok táblázatát tartalmazza, és megjeleníti, hogy mely csomagok támogatottak, de alapértelmezés szerint nem engedélyezettek. A titkosítási csomagok rangsorolásához lásd a Schannel Cipher Suites rangsorolását.
Erős hitelesítés engedélyezése .NET-alkalmazásokhoz
A .NET Framework 3.5/4.0/4.5.x-alkalmazások a SchUseStrongCrypto beállításkulcs engedélyezésével tLS 1.2-re válthatják az alapértelmezett protokollt. Ezek a beállításkulcsok kényszerítik a .NET-alkalmazásokat a TLS 1.2 használatára.
Fontos
Windows Server 2016 és Windows Server 2012 R2 rendszeren futó AD FS esetén a .NET-keretrendszer 4.0/4.5.x kulcsát kell használnia: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
A .NET-keretrendszer 3.5-ös verziója esetén használja a következő beállításkulcsot:
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727 | SchUseStrongCrypto | 00000001 |
A .NET-keretrendszer 4.0/4.5.x verziójához használja a következő beállításkulcsot:
| Útvonal | Érték neve | Értékadatok |
|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 | SchUseStrongCrypto | 00000001 |
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null