Mengelola Keamanan Lapisan Transportasi (TLS)

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Mengonfigurasi TLS Cipher Suite Order

Versi Windows yang berbeda mendukung rangkaian sandi TLS dan urutan prioritas yang berbeda. Lihat Cipher Suites di TLS/SSL (Schannel SSP) untuk urutan default yang didukung oleh Penyedia Microsoft Schannel dalam versi Windows yang berbeda.

Catatan

Anda juga dapat memodifikasi daftar cipher suite dengan menggunakan fungsi CNG, lihat Memprioritaskan Schannel Cipher Suites untuk detailnya.

Perubahan pada urutan cipher suite TLS akan berlaku pada boot berikutnya. Hingga hidupkan ulang atau matikan, urutan yang ada akan berlaku.

Peringatan

Memperbarui pengaturan registri untuk urutan prioritas default tidak didukung dan mungkin diatur ulang dengan pembaruan layanan.

Mengonfigurasi TLS Cipher Suite Order dengan menggunakan Kebijakan Grup

Anda dapat menggunakan pengaturan SSL Cipher Suite Order Kebijakan Grup untuk mengonfigurasi urutan cipher suite TLS default.

  1. Dari Konsol Manajemen Kebijakan Grup, bukaPengaturan Konfigurasi Administratif Templat> Administratif Konfigurasi >Jaringan>SSLKonfigurasi Komputer.

  2. Klik dua kali Pesanan SSL Cipher Suite, lalu klik opsi Diaktifkan .

  3. Klik kanan kotak SSL Cipher Suites dan pilih Pilih semua dari menu pop-up.

    pengaturan Kebijakan Grup

  4. Klik kanan teks yang dipilih, dan pilih salin dari menu pop-up.

  5. Tempelkan teks ke editor teks seperti notepad.exe dan perbarui dengan daftar urutan cipher suite baru.

    Catatan

    Daftar urutan cipher suite TLS harus dalam format yang dibatasi koma yang ketat. Setiap string cipher suite akan berakhir dengan koma (,) di sisi kanannya.

    Selain itu, daftar suite sandi dibatasi hingga 1.023 karakter.

  6. Ganti daftar di SSL Cipher Suites dengan daftar urutan yang diperbarui.

  7. Klik OK atau Terapkan.

Mengonfigurasi TLS Cipher Suite Order dengan menggunakan MDM

Windows 10 Policy CSP mendukung konfigurasi TLS Cipher Suites. Lihat Kriptografi/TLSCipherSuites untuk informasi selengkapnya.

Mengonfigurasi TLS Cipher Suite Order dengan menggunakan Cmdlet PowerShell TLS

Modul TLS PowerShell mendukung mendapatkan daftar rangkaian sandi TLS yang diurutkan, menonaktifkan cipher suite, dan mengaktifkan cipher suite. Lihat Modul TLS untuk informasi selengkapnya.

Mengonfigurasi Urutan Kurva ECC TLS

Dimulai dengan Windows 10 & Windows Server 2016, urutan kurva ECC dapat dikonfigurasi secara independen dari urutan cipher suite. Jika daftar urutan cipher suite TLS memiliki akhiran kurva elips, daftar tersebut akan ditimpa oleh urutan prioritas kurva elips baru, saat diaktifkan. Ini memungkinkan organisasi untuk menggunakan objek Kebijakan Grup untuk mengonfigurasi versi Windows yang berbeda dengan urutan cipher suite yang sama.

Catatan

Sebelum Windows 10, string cipher suite ditambahkan dengan kurva elips untuk menentukan prioritas kurva.

Mengelola kurva Windows ECC menggunakan CertUtil

Dimulai dengan Windows 10 dan Windows Server 2016, Windows menyediakan manajemen parameter kurva elips melalui utilitas baris perintah certutil.exe. Parameter kurva elips disimpan dalam bcryptprimitives.dll. Dengan menggunakan certutil.exe, administrator dapat menambahkan dan menghapus parameter kurva ke dan dari Windows, masing-masing. Certutil.exe menyimpan parameter kurva dengan aman di registri. Windows dapat mulai menggunakan parameter kurva dengan nama yang terkait dengan kurva.

Menampilkan Kurva Terdaftar

Gunakan perintah certutil.exe berikut untuk menampilkan daftar kurva yang terdaftar untuk komputer saat ini.

certutil.exe –displayEccCurve

Kurva tampilan certutil

Gambar 1 Certutil.exe output untuk menampilkan daftar kurva terdaftar.

Menambahkan Kurva Baru

Organisasi dapat membuat dan menggunakan parameter kurva yang diteliti oleh entitas tepercaya lainnya. Administrator yang ingin menggunakan kurva baru ini di Windows harus menambahkan kurva. Gunakan perintah certutil.exe berikut untuk menambahkan kurva ke komputer saat ini:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Argumen curveName mewakili nama kurva tempat parameter kurva ditambahkan.
  • Argumen curveParameters mewakili nama file sertifikat yang berisi parameter kurva yang ingin Anda tambahkan.
  • Argumen curveOid mewakili nama file sertifikat yang berisi OID parameter kurva yang ingin Anda tambahkan (opsional).
  • Argumen curveType mewakili nilai desimal kurva bernama dari EC Named Curve Registry (opsional).

Certutil menambahkan kurva

Gambar 2 Menambahkan kurva menggunakan certutil.exe.

Menghapus Kurva yang Ditambahkan Sebelumnya

Administrator dapat menghapus kurva yang ditambahkan sebelumnya menggunakan perintah certutil.exe berikut:

Certutil.exe –deleteEccCurve curveName

Windows tak bisa menggunakan kurva bernama setelah administrator menghapus kurva dari komputer.

Mengelola kurva Windows ECC menggunakan Kebijakan Grup

Organisasi dapat mendistribusikan parameter kurva ke perusahaan, bergabung dengan domain, komputer menggunakan Kebijakan Grup dan ekstensi Kebijakan Grup Preferences Registry. Proses untuk mendistribusikan kurva adalah:

  1. Pada Windows 10 dan Windows Server 2016, gunakan certutil.exe untuk menambahkan kurva bernama baru yang terdaftar ke Windows.

  2. Dari komputer yang sama, Buka Kebijakan Grup Management Console (GPMC), buat objek Kebijakan Grup baru, dan edit.

  3. Navigasi ke Konfigurasi Komputer| Preferensi| Pengaturan Windows| Registri. Klik kanan Registri. Arahkan mouse ke Atas Baru dan pilih Item Koleksi. Ganti nama item koleksi agar sesuai dengan nama kurva. Anda akan membuat satu item Koleksi Registri untuk setiap kunci registri di bawah HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Konfigurasikan Koleksi Registri Preferensi Kebijakan Grup yang baru dibuat dengan menambahkan Item Registri baru untuk setiap nilai registri yang tercantum di bawah HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Sebarkan objek Kebijakan Grup yang berisi item Koleksi Registri Kebijakan Grup ke komputer Windows 10 dan Windows Server 2016 yang harus menerima kurva bernama baru.

    Cuplikan layar tab Preferensi dari Editor Manajemen Kebijakan Grup.

    Gambar 3 Menggunakan Preferensi Kebijakan Grup untuk mendistribusikan kurva

Mengelola urutan TLS ECC

Dimulai dengan Windows 10 dan Windows Server 2016, pengaturan kebijakan grup Urutan Kurva ECC dapat digunakan untuk mengonfigurasi Urutan Kurva TLS ECC default. Dengan menggunakan ECC Generik dan pengaturan ini, organisasi dapat menambahkan kurva bernama tepercaya mereka sendiri (yang disetujui untuk digunakan dengan TLS) ke sistem operasi dan kemudian menambahkan kurva bernama tersebut ke prioritas kurva Kebijakan Grup pengaturan untuk memastikan mereka digunakan dalam jabat tangan TLS di masa mendatang. Daftar prioritas kurva baru menjadi aktif pada boot ulang berikutnya setelah menerima pengaturan kebijakan.

Cuplikan layar kotak dialog Pesanan Kurva EEC.

Gambar 4 Mengelola prioritas kurva TLS menggunakan Kebijakan Grup