Compartilhar via


Gerenciar o protocolo TLS

Configurar a ordem do pacote de criptografia do TLS

Um conjunto de cifras é um conjunto de algoritmos criptográficos. Diferentes versões do Windows dão suporte a diferentes conjuntos de criptografia TLS e ordens de prioridade. Consulte Pacotes de Criptografia no TLS/SSL (SSP do Schannel) para obter a ordem padrão compatível com o Provedor do Microsoft Schannel em diferentes versões do Windows.

Observação

Você também pode modificar a lista de pacotes de criptografia usando funções CNG; confira Priorizando pacotes de criptografia Schannel para obter detalhes.

As alterações na ordem do pacote de criptografia do TLS entrarão em vigor na próxima inicialização. Até reiniciar ou desligar, a ordem existente permanecerá em vigor.

Aviso

Não há suporte para atualizar as configurações do registro para a ordenação de prioridade padrão, e isso pode ser redefinido com atualizações de manutenção.

Configurar a ordem do pacote de criptografia do TLS usando a Política de Grupo

Você pode usar as configurações de Política de Grupo relativas à ordem de conjuntos de cifras SSL para configurar a ordem padrão de conjuntos de cifras TLS.

  1. No Console de Gerenciamento de Política de Grupo, vá para Configuração do Computador>Modelos Administrativos>Rede>Configurações de SSL.

  2. Clique duas vezes em SSL Cipher Suite Order e selecione a opção Habilitada .

  3. Clique com o botão direito do mouse na caixa Pacotes de Criptografia SSL e selecione Selecionar tudo no menu pop-up.

    Configuração da Política de Grupo

  4. Clique com o botão direito do mouse no texto selecionado e selecione copiar no menu pop-up.

  5. Cole o texto em um editor de texto, como notepad.exe, e atualize com a nova lista de ordem de pacotes de criptografia.

    Observação

    A lista de ordem de pacotes de criptografia TLS precisa estar estritamente em um formato delimitado por vírgulas. Cada cadeia de caracteres do conjunto de criptografia termina com uma vírgula no lado direito. Além disso, a lista de pacotes de criptografia é limitada a 1.023 caracteres.

  6. Substitua a lista em Pacotes de Criptografia SSL pela lista ordenada atualizada.

  7. Selecione OK ou Aplicar.

Configurar a ordem do pacote de criptografia do TLS usando o MDM

O CSP de Política do Windows 10 dá suporte à configuração dos Pacotes de Criptografia TLS. Para obter mais informações, consulte Cryptography/TLSCipherSuites.

Configurar a ordem da suíte de cifras do TLS usando os cmdlets TLS do PowerShell

O módulo TLS do PowerShell dá suporte à obtenção da lista ordenada de pacotes de criptografia TLS e à desabilitação e habilitação de um conjunto de criptografia. Para obter mais informações, consulte o Módulo TLS.

Configurar a ordem das curvas ECC do TLS

A partir do Windows 10 e do Windows Server 2016, a ordem de curva ECC pode ser configurada independentemente da ordem do pacote de criptografia. Se a lista de ordem do pacote de cifras TLS tiver sufixos de curva elíptica, eles serão substituídos pela nova ordem de prioridade de curva elíptica, quando habilitada. Isso permite que as organizações usem um objeto de Política de Grupo para configurar diferentes versões do Windows Server com a mesma ordem de conjuntos de criptografia.

Gerenciar curvas ECC usando CertUtil

Começando com o Windows 10 e o Windows Server 2016, o Windows fornece gerenciamento de parâmetro de curva elíptica por meio do utilitário de linha de comando certutil.exe. Os parâmetros de curva elíptica são armazenados em bcryptprimitives.dll. Os administradores podem adicionar e remover parâmetros de curva no Windows Server usando certutil.exe. Certutil.exe armazena os parâmetros de curva com segurança no registro. O Windows Server pode começar a usar os parâmetros de curva pelo nome associado à curva.

Exibir curvas registradas

Use o comando certutil.exe a seguir para exibir uma lista de curvas registradas para o computador atual.

certutil.exe –displayEccCurve

Curvas de exibição de Certutil

Adicionar uma nova curva

As organizações podem criar e usar parâmetros de curva pesquisados por outras entidades confiáveis. Administradores que desejam usar essas novas curvas no Windows devem adicionar a curva. Use o seguinte comando certutil.exe para adicionar uma curva ao computador atual:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • O argumento curveName representa o nome da curva sob a qual os parâmetros de curva foram adicionados.
  • O argumento curveParameters representa o nome do arquivo de um certificado que contém os parâmetros das curvas que você deseja adicionar.
  • O argumento curveOid representa um nome de arquivo de um certificado que contém o OID dos parâmetros de curva que você deseja adicionar (opcional).
  • O argumento curveType representa um valor decimal da curva nomeada do Registro de Curva Nomeada do EC (opcional).

Adicionar curvas com certutil

Remover uma curva adicionada anteriormente

Administradores podem remover uma curva adicionada anteriormente usando o seguinte comando certutil.exe:

certutil.exe –deleteEccCurve curveName

O Windows não pode usar uma curva nomeada depois que um administrador remove a curva do computador.

Gerenciar curvas ECC usando a Política de Grupo

As organizações podem distribuir parâmetros de curva para um computador corporativo, ingressado no domínio, usando a Política de Grupo e a extensão do Registro de Preferências da Política de Grupo. O processo para distribuir uma curva é:

  1. Use certutil.exe para adicionar uma nova curva nomeada registrada.

  2. Nesse mesmo computador, abra o GPMC (Console de Gerenciamento de Política de Grupo), crie um objeto de Política de Grupo e edite-o.

  3. Vá até Computer Configuration|Preferences|Windows Settings|Registry. Clique com o botão direito do mouse em Registro. Passe o mouse sobre Novo e selecione Item de Coleção. Renomeie o item de coleção para corresponder ao nome da curva. Crie um item de coleção do Registro para cada chave do Registro em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configure a coleção de Registros de preferência de Política de Grupo recém-criada adicionando um novo Item do Registro para cada valor do registro listado em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Implante o GPO que contém computadores de item da coleção do Registro de Política de Grupo que deve receber as novas curvas nomeadas.

    Captura de tela da guia Preferências do Editor de Gerenciamento de Política de Grupo.

Gerenciar a ordem do TLS ECC

A partir do Windows 10 e do Windows Server 2016, as configurações de política de grupo da Ordem de Curva do ECC podem ser usadas para configurar a ordem de curva TLS ECC padrão. As organizações podem adicionar suas próprias curvas nomeadas confiáveis ao sistema operacional e, em seguida, adicionar essas curvas nomeadas à configuração da Política de Grupo de prioridade de curva para garantir que elas sejam usadas em handshakes TLS futuros. Novas listas de prioridades de curva ficam ativas na próxima reinicialização depois de receber as configurações de política.

Captura de tela da caixa de diálogo Ordem de Curva do EEC.