Управление TLS

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Настройка заказа комплекта шифров TLS

Разные версии Windows поддерживают разные наборы шифров TLS и порядок приоритета. Порядок по умолчанию, поддерживаемый поставщиком Microsoft Schannel в разных версиях Windows, см. в разделе Комплекты шифров в TLS/SSL (Schannel SSP).

Примечание

Вы также можете изменить список наборов шифров с помощью функций CNG. Дополнительные сведения см. в разделе Приоритеты комплектов шифров Schannel .

Изменения в заказе комплектов шифров TLS вступают в силу при следующей загрузке. До перезапуска или завершения работы существующий порядок будет действовать.

Предупреждение

Обновление параметров реестра для упорядочения приоритетов по умолчанию не поддерживается и может быть сброшено с помощью обновлений обслуживания.

Настройка заказа комплекта шифров TLS с помощью групповая политика

Чтобы настроить порядок комплектов шифров TLS по умолчанию по умолчанию, можно использовать параметры заказа комплекта шифров SSL групповая политика.

  1. В консоли управления групповая политика перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Параметры конфигурации SSLсети>.

  2. Дважды щелкните Ssl Cipher Suite Order (Заказ комплекта шифров SSL) и выберите параметр Enabled (Включено ).

  3. Щелкните правой кнопкой мыши поле Комплекты шифров SSL и выберите выбрать все во всплывающем меню.

    параметр групповая политика

  4. Щелкните выделенный текст правой кнопкой мыши и выберите копировать во всплывающем меню.

  5. Вставьте текст в текстовый редактор, например notepad.exe и обновите новый список заказов наборов шифров.

    Примечание

    Список заказов комплектов шифров TLS должен иметь строгий формат с разделителями-запятыми. Каждая строка набора шифров будет заканчиваться запятой (,) справа от нее.

    Кроме того, список наборов шифров ограничен 1023 символами.

  6. Замените список в комплектах шифров SSL обновленным упорядоченным списком.

  7. Нажмите кнопку OK или кнопку Применить.

Настройка заказа комплекта шифров TLS с помощью MDM

Поставщик Windows 10 Policy CSP поддерживает конфигурацию комплектов шифров TLS. Дополнительные сведения см. в разделе Cryptography/TLSCipherSuites .

Настройка порядка комплектов шифров TLS с помощью командлетов PowerShell TLS

Модуль TLS PowerShell поддерживает получение упорядоченного списка наборов шифров TLS, отключение набора шифров и включение набора шифров. Дополнительные сведения см. в разделе Модуль TLS .

Настройка порядка кривых TLS ECC

Начиная с Windows 10 & Windows Server 2016, порядок кривых ECC можно настроить независимо от порядка набора шифров. Если список порядка комплектов шифров TLS содержит суффиксы эллиптических кривых, они будут переопределены новым порядком приоритета эллиптических кривых, если они включены. Это позволяет организациям использовать объект групповая политика для настройки различных версий Windows с одинаковым порядком комплектов шифров.

Примечание

До Windows 10 строки набора шифров добавлялись с эллиптической кривой, чтобы определить приоритет кривой.

Управление кривыми Windows ECC с помощью CertUtil

Начиная с Windows 10 и Windows Server 2016, Windows обеспечивает управление параметрами эллиптических кривых с помощью certutil.exe служебной программы командной строки. Параметры эллиптической кривой хранятся в bcryptprimitives.dll. С помощью certutil.exe администраторы могут добавлять и удалять параметры кривой в Windows и из нее соответственно. Certutil.exe безопасно сохраняет параметры кривой в реестре. Windows может начать использовать параметры кривой по имени, связанному с кривой.

Отображение зарегистрированных кривых

Используйте следующую команду certutil.exe, чтобы отобразить список кривых, зарегистрированных для текущего компьютера.

certutil.exe –displayEccCurve

Кривые отображения Certutil

На рис. 1 Certutil.exe выходные данные для отображения списка зарегистрированных кривых.

Добавление новой кривой

Организации могут создавать и использовать параметры кривой, исследуемые другими доверенными сущностями. Администраторы, желающие использовать эти новые кривые в Windows, должны добавить кривую. Чтобы добавить кривую к текущему компьютеру, используйте следующую команду certutil.exe:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Аргумент curveName представляет имя кривой, под которой были добавлены параметры кривой.
  • Аргумент curveParameters представляет имя файла сертификата, содержащего параметры кривых, которые требуется добавить.
  • Аргумент curveOid представляет имя файла сертификата, содержащего идентификатор идентификатора параметров кривой, которые требуется добавить (необязательно).
  • Аргумент curveType представляет десятичное значение именованной кривой из реестра именованных кривых EC (необязательно).

Кривые добавления Certutil

Рис. 2 Добавление кривой с помощью certutil.exe.

Удаление ранее добавленной кривой

Администраторы могут удалить ранее добавленную кривую с помощью следующей команды certutil.exe:

Certutil.exe –deleteEccCurve curveName

Windows не может использовать именованную кривую после удаления кривой с компьютера администратором.

Управление кривыми Windows ECC с помощью групповая политика

Организации могут распределять параметры кривой на корпоративный компьютер, присоединенный к домену, с помощью групповая политика и расширения реестра групповая политика Preferences. Процесс распределения кривой:

  1. На Windows 10 и Windows Server 2016 используйте certutil.exe, чтобы добавить новую зарегистрированную именованную кривую в Windows.

  2. На том же компьютере откройте консоль управления групповая политика (GPMC), создайте новый объект групповая политика и измените его.

  3. Перейдите к разделу Конфигурация компьютера| Настройки| Параметры Windows| Реестр. Щелкните правой кнопкой мыши Реестр. Наведите указатель мыши на кнопку Создать и выберите Элемент коллекции. Переименуйте элемент коллекции в соответствии с именем кривой. Вы создадите один элемент коллекции реестра для каждого раздела реестра вHKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Настройте только что созданную коллекцию реестра групповая политика, добавив новый элемент реестра для каждого значения реестра, указанного в разделеHKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Разверните объект групповая политика, содержащий элемент коллекции реестра групповая политика, на Windows 10 и Windows Server 2016 компьютерах, которые должны получать новые именованные кривые.

    Снимок экрана: вкладка

    Рис. 3. Использование групповая политика параметров для распределения кривых

Управление порядком TLS ECC

Начиная с Windows 10 и Windows Server 2016, можно использовать параметры групповой политики порядка кривых ECC для настройки порядка кривых TLS по умолчанию. С помощью универсального ECC и этого параметра организации могут добавлять собственные доверенные именованные кривые (утвержденные для использования с TLS) в операционную систему, а затем добавлять эти именованные кривые в параметр приоритета кривой групповая политика, чтобы убедиться, что они будут использоваться в будущих подтверждениях TLS. Новые списки приоритетов кривой становятся активными при следующей перезагрузке после получения параметров политики.

Снимок экрана: диалоговое окно

Рис. 4. Управление приоритетом кривой TLS с помощью групповая политика