Управление протоколом Transport Layer Security (TLS)

Настройка порядка набора шифров TLS

Комплект шифров представляет собой набор криптографических алгоритмов. Разные версии Windows поддерживают различные наборы шифров TLS и порядок приоритета. См. Наборы шифров в TLS/SSL (Schannel SSP) для получения сведений о порядке по умолчанию, поддерживаемом поставщиком Microsoft Schannel в разных версиях Windows.

Изменения в порядке набора шифров TLS вступили в силу при следующей загрузке. До перезапуска или завершения работы существующий порядок действует.

Настройка порядка набора шифров TLS с помощью групповой политики

Параметры групповой политики набора шифров SSL можно использовать для настройки порядка набора шифров TLS по умолчанию.

1. From the Group Policy Management Console, go to Computer Configuration>Administrative Templates>Network>SSL Configuration Settings.

2. Дважды щелкните порядок набора шифров SSL и выберите параметр "Включено ".

3. Щелкните правой кнопкой мыши флажок "Наборы шифров SSL" и выберите "Выбрать все " во всплывающем меню.

   

4. Right-click the selected text, and select copy from the pop-up menu.

5. Вставьте текст в текстовый редактор, например, notepad.exe, и обновите его новым списком порядка наборов шифров.

   Note

   Список заказов набора шифров TLS должен быть в строгом формате с разделителями-запятыми. Каждая строка набора шифров заканчивается запятой справа от нее. Кроме того, список наборов шифров ограничен 1023 символами.

6. Замените список в SSL-наборах шифров на обновленный упорядоченный список.

7. Select OK or Apply.

Настройка порядка набора шифров TLS с помощью MDM

CSP политики Windows 10 поддерживает настройку наборов шифров TLS. For more information, see Cryptography/TLSCipherSuites.

Настройка порядка набора шифров TLS с помощью командлетов TLS PowerShell

Модуль TLS PowerShell поддерживает получение упорядоченного списка наборов шифров TLS, отключение набора шифров и включение набора шифров. For more information, see TLS Module.

Настройка порядка кривой TLS ECC

Начиная с Windows 10 и Windows Server 2016, порядок кривой ECC можно настроить независимо от порядка набора шифров. Если в порядке следования наборов шифров TLS есть суффиксы эллиптических кривых, они будут переопределены новым порядком приоритета эллиптических кривых, когда они включены. Это позволяет организациям использовать объект групповой политики для настройки различных версий Windows Server с одинаковым порядком наборов шифров.

Управление кривыми ECC с помощью CertUtil

Beginning with Windows 10 and Windows Server 2016, Windows provides elliptic curve parameter management through the command line utility certutil.exe. Параметры эллиптической кривой хранятся в bcryptprimitives.dll. Администраторы могут добавлять и удалять параметры кривой в и из Windows Server с помощью certutil.exe. Certutil.exe безопасно сохраняет параметры кривой в реестре. Windows Server может начать использовать параметры кривой по имени, связанному с кривой.

Отображение зарегистрированных кривых

Используйте следующую команду certutil.exe, чтобы отобразить список кривых, зарегистрированных для текущего компьютера.

certutil.exe –displayEccCurve

Добавление новой кривой

Организации могут создавать и использовать параметры кривой, исследуемые другими доверенными сущностями. Администраторы, желающие использовать эти новые кривые в Windows, должны добавить кривую. Используйте следующую команду certutil.exe, чтобы добавить эллиптическую кривую на текущий компьютер.

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]

• The curveName argument represents the name of the curve under which the curve parameters were added.
• The curveParameters argument represents the filename of a certificate that contains the parameters of the curves you want to add.
• The curveOid argument represents a filename of a certificate that contains the OID of the curve parameters you want to add (optional).
• The curveType argument represents a decimal value of the named curve from the EC Named Curve Registry (optional).

Удаление ранее добавленной кривой

Администраторы могут удалить ранее добавленную кривую с помощью следующей команды certutil.exe:

certutil.exe –deleteEccCurve curveName

Windows не может использовать именованную кривую после того, как администратор удаляет кривую с компьютера.

Управление кривыми ECC с помощью групповой политики

Организации могут распространять параметры криптографической кривой на корпоративные компьютеры, присоединенные к домену, с помощью групповой политики и расширения параметров групповой политики в реестре. Процесс распределения кривой:

1. Use certutil.exe to add a new registered named curve.

2. На том же компьютере откройте консоль управления групповыми политиками (GPMC), создайте новый объект групповой политики и измените его.

3. Перейдите к конфигурации компьютера|Параметры|Параметры Windows |Реестр. Right-click Registry. Hover over New and select Collection Item. Переименуйте элемент коллекции в соответствии с именем кривой. You create one Registry Collection item for each registry key under HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

4. Configure the newly created Group Policy Preference Registry Collection by adding a new Registry Item for each registry value listed under HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

5. Разверните объект групповой политики, содержащий компьютеры элементов коллекции реестра групповой политики, которые должны получать новые именованные кривые.

   

Управление порядком TLS ECC

Начиная с Windows 10 и Windows Server 2016, параметры групповой политики порядка кривой ECC по умолчанию можно использовать для настройки порядка кривой TLS ECC по умолчанию. Организации могут добавлять собственные доверенные именованные кривые в операционную систему и затем добавлять эти именованные кривые в параметр групповой политики приоритета именованных кривых, чтобы гарантировать их использование в будущих TLS-соглашениях. Новые списки приоритетов кривых становятся активными при следующей перезагрузке после получения параметров политики.