Mengelola Keamanan Lapisan Transportasi (TLS)

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Mengonfigurasi Pesanan Suite Sandi TLS

Versi Windows yang berbeda mendukung suite sandi TLS dan urutan prioritas yang berbeda. Lihat Cipher Suites di TLS/SSL (Schannel SSP) untuk urutan default yang didukung oleh Penyedia Microsoft Schannel di versi Windows yang berbeda.

Catatan

Anda juga dapat memodifikasi daftar suite sandi dengan menggunakan fungsi CNG, lihat Memprioritaskan Schannel Cipher Suites untuk detailnya.

Perubahan pada urutan cipher suite TLS akan berlaku pada boot berikutnya. Hingga mulai ulang atau matikan, urutan yang ada akan berlaku.

Peringatan

Memperbarui pengaturan registri untuk urutan prioritas default tidak didukung dan mungkin diatur ulang dengan pembaruan layanan.

Mengonfigurasi TLS Cipher Suite Order dengan menggunakan Kebijakan Grup

Anda dapat menggunakan pengaturan Kebijakan Grup Pesanan SSL Cipher Suite untuk mengonfigurasi urutan rangkaian sandi TLS default.

  1. Dari Konsol Manajemen Kebijakan Grup, buka Konfigurasi Konfigurasi>Komputer Konfigurasi>Administratif Konfigurasi SSL Jaringan>Pengaturan.

  2. Klik dua kali Pesanan SSL Cipher Suite, lalu klik opsi Diaktifkan.

  3. Klik kanan kotak SSL Cipher Suites dan pilih Pilih semua dari menu pop-up.

    Group Policy setting

  4. Klik kanan teks yang dipilih, dan pilih salin dari menu pop-up.

  5. Tempelkan teks ke editor teks seperti notepad.exe dan perbarui dengan daftar urutan cipher suite baru.

    Catatan

    Daftar urutan rangkaian sandi TLS harus dalam format yang dibatasi koma yang ketat. Setiap string cipher suite akan diakhir dengan koma (,) di sisi kanannya.

    Selain itu, daftar suite sandi dibatasi hingga 1.023 karakter.

  6. Ganti daftar di SSL Cipher Suites dengan daftar urutan yang diperbarui.

  7. Klik OK atau Terapkan.

Mengonfigurasi TLS Cipher Suite Order dengan menggunakan MDM

CSP Kebijakan Windows 10 mendukung konfigurasi Cipher Suites TLS. Lihat Kriptografi/TLSCipherSuites untuk informasi selengkapnya.

Mengonfigurasi TLS Cipher Suite Order dengan menggunakan Cmdlet PowerShell TLS

Modul TLS PowerShell mendukung mendapatkan daftar suite sandi TLS yang dipesan, menonaktifkan cipher suite, dan mengaktifkan cipher suite. Lihat Modul TLS untuk informasi selengkapnya.

Mengonfigurasi Urutan Kurva ECC TLS

Dimulai dengan Windows 10 & Windows Server 2016, urutan kurva ECC dapat dikonfigurasi secara independen dari urutan cipher suite. Jika daftar urutan rangkaian sandi TLS memiliki akhiran kurva elips, mereka akan ditimpa oleh urutan prioritas kurva elips baru, saat diaktifkan. Ini memungkinkan organisasi untuk menggunakan objek Kebijakan Grup untuk mengonfigurasi versi Windows yang berbeda dengan urutan suite sandi yang sama.

Catatan

Sebelum Windows 10, string cipher suite ditambahkan dengan kurva elips untuk menentukan prioritas kurva.

Mengelola kurva Windows ECC menggunakan CertUtil

Dimulai dengan Windows 10 dan Windows Server 2016, Windows menyediakan manajemen parameter kurva elips melalui utilitas baris perintah certutil.exe. Parameter kurva elips disimpan di bcryptprimitives.dll. Dengan menggunakan certutil.exe, administrator dapat menambahkan dan menghapus parameter kurva ke dan dari Windows. Certutil.exe menyimpan parameter kurva dengan aman di registri. Windows dapat mulai menggunakan parameter kurva dengan nama yang terkait dengan kurva.

Menampilkan Kurva Terdaftar

Gunakan perintah certutil.exe berikut untuk menampilkan daftar kurva yang terdaftar untuk komputer saat ini.

certutil.exe –displayEccCurve

Certutil display curves

Gambar 1 Certutil.exe output untuk menampilkan daftar kurva terdaftar.

Menambahkan Kurva Baru

Organisasi dapat membuat dan menggunakan parameter kurva yang diteliti oleh entitas tepercaya lainnya. Administrator yang ingin menggunakan kurva baru ini di Windows harus menambahkan kurva. Gunakan perintah certutil.exe berikut untuk menambahkan kurva ke komputer saat ini:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Argumen curveName mewakili nama kurva tempat parameter kurva ditambahkan.
  • Argumen curveParameters mewakili nama file sertifikat yang berisi parameter kurva yang ingin Anda tambahkan.
  • Argumen curveOid mewakili nama file sertifikat yang berisi OID parameter kurva yang ingin Anda tambahkan (opsional).
  • Argumen curveType mewakili nilai desimal kurva bernama dari EC Named Curve Registry (opsional).

Certutil add curves

Gambar 2 Menambahkan kurva menggunakan certutil.exe.

Menghapus Kurva yang Ditambahkan Sebelumnya

Administrator dapat menghapus kurva yang ditambahkan sebelumnya menggunakan perintah certutil.exe berikut:

certutil.exe –deleteEccCurve curveName

Windows tidak dapat menggunakan kurva bernama setelah administrator menghapus kurva dari komputer.

Mengelola kurva Windows ECC menggunakan Kebijakan Grup

Organisasi dapat mendistribusikan parameter kurva ke perusahaan, gabungan domain, komputer menggunakan Kebijakan Grup dan ekstensi Registri Preferensi Kebijakan Grup. Proses untuk mendistribusikan kurva adalah:

  1. Pada Windows 10 dan Windows Server 2016, gunakan certutil.exe untuk menambahkan kurva bernama baru yang terdaftar ke Windows.

  2. Dari komputer yang sama, Buka Konsol Manajemen Kebijakan Grup (GPMC), buat objek Kebijakan Grup baru, dan edit.

  3. Menavigasi ke Konfigurasi Komputer|Preferensi|Windows Pengaturan|Registri. Klik kanan Registri. Arahkan mouse ke Atas Baru dan pilih Item Koleksi. Ganti nama item koleksi agar sesuai dengan nama kurva. Anda akan membuat satu item Koleksi Registri untuk setiap kunci registri di bawah HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Konfigurasikan Kumpulan Registri Preferensi Kebijakan Grup yang baru dibuat dengan menambahkan Item Registri baru untuk setiap nilai registri yang tercantum di HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Sebarkan objek Kebijakan Grup yang berisi item Kumpulan Registri Kebijakan Grup ke komputer Windows 10 dan Windows Server 2016 yang harus menerima kurva bernama baru.

    Screenshot of the Preferences tab of the Group Policy Management Editor.

    Gambar 3 Menggunakan Preferensi Kebijakan Grup untuk mendistribusikan kurva

Mengelola pesanan TLS ECC

Dimulai dengan Windows 10 dan Windows Server 2016, pengaturan kebijakan grup Urutan Kurva ECC dapat digunakan untuk mengonfigurasi Urutan Kurva TLS ECC default. Dengan menggunakan ECC Generik dan pengaturan ini, organisasi dapat menambahkan kurva bernama tepercaya mereka sendiri (yang disetujui untuk digunakan dengan TLS) ke sistem operasi lalu menambahkan kurva bernama tersebut ke pengaturan Kebijakan Grup prioritas kurva untuk memastikan mereka digunakan dalam jabat tangan TLS di masa mendatang. Daftar prioritas kurva baru menjadi aktif pada boot ulang berikutnya setelah menerima pengaturan kebijakan.

Screenshot of the EEC Curve Order dialog box.

Gambar 4 Mengelola prioritas kurva TLS menggunakan Kebijakan Grup