GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Registrierungseinstellungen für Transport Layer Security (TLS).

Der Artikel beschreibt einige Informationen zu Registrierungseinstellungen für die Windows®-Implementierung des Transport Layer Security (TLS)-Protokolls und des Secure Sockets Layer (SSL)-Protokolls über den Schannel Security SupportProvider (SSP).

Hinweis :Gilt für Windows Server (halbjährlicher Kanal), Windows Server 2019, Windows Server 2016 und Windows 10.

Die folgenden Abschnitte befassen sich mit bestimmten Registrierungseinstellungsparametern:

Zertifikatszuordnungsmethoden

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Es gibt zwei Methoden zum Zuordnen von Client-Zertifikaten:

  • Eins-zu-Eins-Zuordnungen :Diese Zuordnungen stimmen einzelne Client-Zertifikate auf einer Eins-zu-eins-Basis mit einzelnen Benutzerkonten überein. Jedes Client-Zertifikat ist einem Benutzerkonto zugeordnet.

  • Viele-zu-Eins-Zuordnungen :Diese Zuordnungen ordnen mehrere Zertifikate einem Benutzerkonto zu, basierend auf Unterfeldern in den Client-Zertifikaten.

Wenn Sie diesen Eintrag auf Ihrem Server jedes Mal konfigurieren, wenn ein Client ein Clientzertifikat vorlegt, wird dieser Benutzer automatisch dem entsprechenden Windows-Benutzerkonto zugeordnet.

Chiffren und Cipher-Suites

Um diese Datensätze zu konfigurieren, benötigen Sie die TLS-Cipher-Suite-Reihenfolge, Gruppenrichtlinien-MDM oder PowerShell®, und dieser Artikel behandelt nicht die Konfiguration.

ClientCacheTime

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Dieser Eintrag steuert die Zeit, die das Betriebssystem benötigt (in Millisekunden), um clientseitige Cache-Einträge abzulaufen. Wenn der Wert 0 ist , es deaktiviert die sichere Verbindung.

EnableOcspStaplingForSni

Das Online Certificate Status Protocol (OCSP) ist ein Protokoll, das zum Abrufen des Widerrufsstatus eines digitalen X.509-Zertifikats während des TLS-Handshakes verwendet wird. Durch Aktivieren dieses Eintrags kann der Webserver entlastet werden.

Registrierungspfad:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Fügen Sie den folgenden Schlüssel hinzu:"EnableOcspStaplingForSni"=dword:00000001

Setzen Sie zum Deaktivieren das DWORD Wert auf 0:"EnableOcspStaplingForSni"=dword:00000000

FIPSAlgorithmPolicy

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\LSA

Das National Institute of Standards and Technology gibt öffentlich Federal Information Processing (FIPS)-Standards bekannt, die für die Verwendung in Computersystemen durch nichtmilitärische amerikanische Regierungsbehörden und Regierungsauftragnehmer entwickelt wurden. Durch Festlegen dieses Eintrags wird die FIPS-Konformität gesteuert. Der Standardwert ist 0 .

Hashes

Die Konfiguration der Cipher-Suite-Reihenfolge sollte TLS/SSL-Hash-Algorithmen steuern.

IssuerCacheSize

Wenn die Aussteller keinem Konto zugeordnet sind, versucht der Server möglicherweise, hunderte Male pro Sekunde wiederholt denselben Ausstellernamen zuzuordnen. Sie verwenden diesen Eintrag, der die Größe des Issuer-Cache steuert, mit Issuer-Mapping. Dieser Registrierungseintrag gibt die Cache-Größe an, und der Standardwert ist 100 .

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

IssuerCacheTime

Als IssuerCacheSize vermeidet mehrfache Versuche, den Aussteller dem Server zuzuordnen, können Sie die Länge des Cache-Timeout-Intervalls in Millisekunden begrenzen. Der Standardwert ist 10 Minuten.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

KeyExchangeAlgorithm:Client-RSA-Schlüsselgrößen

Dieser Eintrag steuert die Client-RSA-Schlüsselgröße.

Registrierungspfad:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS

Wenn Sie eine Mindestlänge für den RSA-Schlüssel festlegen möchten, sollten Sie einen ClientMinKeyBitLength erstellen eingeben und die gewünschte Länge zuweisen. Wenn Sie diesen Eintrag nicht erstellen, ist der Standardwert 1024 Bit. Wenn Sie jedoch eine maximale Länge angeben, erstellen Sie ClientMaxKeyBitLength eingeben und den gewünschten Wert ändern.

Hinweis :Die Konfiguration der Cipher-Suite-Reihenfolge sollte die Verwendung von Schlüsselaustauschalgorithmen steuern.

KeyExchangeAlgorithm:Diffie-Hellman-Schlüsselgrößen

Dieser Eintrag steuert die Diffie-Hellman-Schlüsselgrößen.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

Beachten Sie, dass die zusätzlichen Einträge zum Angeben eines Werts des Diffie-Helman-Schlüssels dieselben sind wie beim RSA-Schlüssel. Wenn Sie einen unterstützten Mindestbereich von Diffie-Helman-Schlüsseln angeben möchten, sollten Sie eine ClientMinKeyBitLength erstellen Eintrag und weisen Sie die gewünschte Bitlänge zu. Wenn Sie diesen Eintrag nicht erstellen, ist der Standardwert 1024 Bit. Wenn Sie einen maximalen Unterstützungsbereich angeben, erstellen Sie die ClientMaxKeyBitLength eingeben und den gewünschten Wert ändern. Verwenden Sie schließlich die ServerMinKeyBitLength -Eintrag, um die Länge für den TLS-Serverstandard anzugeben. Wenn nicht, ist der Standardwert 2048.

Hinweis :Die Konfiguration der Cipher-Suite-Reihenfolge sollte die Verwendung von Schlüsselaustauschalgorithmen steuern.

Maximale Cachegröße

Die Cache-Elemente können unterschiedliche Größen haben. Wenn Sie diesen Eintrag aktivieren, legen Sie eine maximale Cache-Größe fest. Setzen Sie den Wert auf 0 deaktiviert die serverseitige Sitzung und vermeidet die erneute Verbindung. Vermutlich kommt es durch die Aktivierung dieses Eintrags zu zusätzlichem Speicherverbrauch auf Ihrem Server. Der Standardwert ist 20.000 Elemente.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Messaging:Fragmentanalyse

Jedes Mal, wenn ein Client versucht, eine Verbindung zu einem Server mit TLS herzustellen, und die Verbindung erfolgreich ist, speichert das System eine Handshake-Nachricht auf dem Server. Sie können eine Größenbeschränkung für die Speicherung dieser Nachrichten festlegen. Wenn Sie den Wert auf 0x0 setzen , können Sie keine Handshake-Nachrichten speichern, was dazu führt, dass TLS fehlschlägt. Sie können die maximal zulässige Größe auf 2^24-1 Bytes erhöhen.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging

TrustedIssuerList senden

Verwenden Sie diesen Eintrag nur, wenn Sie keine Liste der vertrauenswürdigen Aussteller an den Client senden möchten.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ServerCacheTime

Verwenden Sie diesen Eintrag, um die Zeit (in Millisekunden) festzulegen, die das Betriebssystem benötigt, um serverseitige Cache-Einträge abzulaufen.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Ein Wert von 0 deaktiviert den serverseitigen Sitzungscache und verhindert die erneute Verbindung.Erhöhung von ServerCacheTime oberhalb der Standardwerte verursacht Lsass.exe Speicher zu verbrauchen. Jedes Sitzungs-Cache-Element benötigt in der Regel 2 bis 4 KB Arbeitsspeicher. Die Standard-Server-Cache-Zeit beträgt 10 Stunden.

Wenn Sie den Eintrag standardmäßig deaktivieren, indem Sie die DisabledByDefault Eintrag und eine SSPI-App ausdrücklich die Verwendung von SSL, TLS oder DTLS anfordert, kann dies ausgehandelt werden.

SSL 2.0

Dieser Unterschlüssel steuert die Verwendung von SSL 2.0.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das SSL 2.0-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um ihn zu deaktivieren, ändern Sie den Wert auf 0 . Um SSL 2.0 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .

SSL 3.0

Dieser Unterschlüssel steuert die Verwendung von SSL 3.0.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das SSL 3.0-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um ihn zu deaktivieren, ändern Sie den Wert auf 0 . Um SSL 3.0 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .

TLS 1.0

Dieser Unterschlüssel steuert die Verwendung von TLS 1.0.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das TLS 1.0-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um es zu deaktivieren, ändern Sie das DWORD Wert auf 0 .Um TLS 1.0 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .

TLS 1.1

Dieser Unterschlüssel steuert die Verwendung von TLS 1.1.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das TLS 1.1-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um ihn zu deaktivieren, ändern Sie den Wert auf 0 . Um TLS 1.1 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .

TLS 1.2

Dieser Unterschlüssel steuert die Verwendung von TLS 1.2.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das TLS 1.2-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um ihn zu deaktivieren, ändern Sie den Wert auf 0. Um TLS 1.2 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .

DTLS 1.0

Dieser Unterschlüssel steuert die Verwendung von DTLS 1.0.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das DTLS 1.0-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um ihn zu deaktivieren, ändern Sie den Wert auf 0 . Um DTLS 1.0 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .

DTLS 1.2

Dieser Unterschlüssel steuert die Verwendung von DTLS 1.2.

Registrierungspfad:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Um das DTLS 1.2-Protokoll zu aktivieren, erstellen Sie ein Enabled Eintrag (im Unterschlüssel Client oder Server) und ändern Sie den Wert in 1 . Um ihn zu deaktivieren, ändern Sie den Wert auf 0 . Um DTLS 1.2 standardmäßig zu deaktivieren, erstellen Sie ein DisabledByDefault Eintrag und ändern Sie den Wert auf 1 .


Linux

  1. Mehr Sicherheit:OpenVPN Connect unterstützt jetzt PKCS #11

  2. So aktivieren Sie die HSTS-Richtlinie (HTTP Strict Transport Security) in Nginx und Apache

  3. Sites, die den SQLOLEDB-Anbieter verwenden, zeigen einen SSL-Sicherheitsfehler

  4. IP-Sicherheit in IIS konfigurieren

  5. PayPal erfordert TLS 1.2

Eine Einführung in die Containerregistrierung von Quay

So verbessern Sie die Benutzersicherheit von Linux mit Pluggable Authentication Module-Einstellungen

Sicherheitsaudit mit Lynis

13 Wichtige Datenschutz- und Sicherheitseinstellungen in Ubuntu Linux

Webhosting-Sicherheit

Linux vs. Windows-Sicherheit