2. Fórumok
  3. OS, alkalmazások
  4. Windows Server 2012

Új hozzászólás Aktív témák

  • #1247 kpepe111 csendes tag
    Új Válasz #1247
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    kpepe111

    csendes tag

    Sziasztok!

    Tudom, hogy nem mai darab ez az OS, de még pár helyen erősen dolgozik, és a segítségeketek szeretném kérni. :)
    Szóval, Windows 2012 R2, és TLS + cipher suites.

    Valaki el tudná magyarázni nekem, hogy mi alapján aktiválódik egy adott cipher suite ezen a Windows verzión? Adott a következő cipher suite lista a következő kulcs alatt:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\Functions
    https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-8-1

    Ha jól értem, lehet konfigurálgatni további registry kulcsokkal, hogy ezekből mi legyen az aktív. Mindent a következő kulcs alatt kell érteni, az egyszerűség kedvéért nem írom ki mindenhova.
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

    Nálunk ez a felállás jelenleg:
    Letiltva:
    Ciphers\NULL\
    Ciphers\DES 56/56
    Ciphers\RC2 40/128
    Ciphers\RC2 56/128
    Ciphers\RC2 128/128
    Ciphers\RC4 40/128
    Ciphers\RC4 56/128
    Ciphers\RC4 64/128
    Ciphers\RC4 128/128
    Ciphers\Triple DES 168
    Engedélyezve:
    Ciphers\AES 128/128
    Ciphers\AES 256/256
    Letiltva:
    Hashes\MD5
    Hashes\SHA
    Engedélyezve:
    Hashes\SHA256
    Hashes\SHA384
    Hashes\SHA512
    Engedélyezve:
    KeyExchangeAlgorithms\Diffie-Hellman
    KeyExchangeAlgorithms\PKCS
    KeyExchangeAlgorithms\ECDH
    Letiltva:
    Protocols\Multi-Protocol Unified Hello\Client
    Protocols\Multi-Protocol Unified Hello\Server
    Protocols\PCT 1.0\Client
    Protocols\PCT 1.0\Server
    Protocols\SSL 2.0\Client
    Protocols\SSL 2.0\Server
    Protocols\SSL 3.0\Client
    Protocols\SSL 3.0\Server
    Protocols\TLS 1.0\Client
    Protocols\TLS 1.0\Server
    Protocols\TLS 1.1\Client
    Protocols\TLS 1.1\Server
    Engedélyezve:
    Protocols\TLS 1.2\Client
    Protocols\TLS 1.2\Server

    Ennek eredményeképp az MS oldalán levő listából mindössze ez a 6 cipher suite aktív
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256

    Tehát csak azok, amik AES-t használnak, illetve GCM a bulk encryption.
    Ha én engedélyezni szeretném mondjuk a TLS_RSA_WITH_3DES_EDE_CBC_SHA suite-t, akkor mit kell megváltoztatni? Mert önmagában a "Ciphers\Triple DES 168" engedélyezése nem elég. Ezzel totálisal elakadtam. GPO elvileg nincs a szervereken.
    Remélem sikerült érthetően leírni a problémát, és elnézést, hogy hosszú lett.

    Köszönöm és üdv,
    Pepe

Új hozzászólás Aktív témák