paraméterek tls
Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Az alapértelmezett érték - által támogatott mind a négy módszert Térkép tanúsítványok az alábbiak.
Ha a szerver alkalmazás ügyfélhitelesítés, Schannel automatikusan megpróbálja egyeztetni a tanúsítványt, amely a kliens számítógép egy felhasználói fiókot. Akkor felhasználók hitelesítésére, aki aláírja az ügyfél minősítési létrehozásával megfelelő, összeköti ezt az információt a Windows felhasználói fiókot. Miután létrehozta, és lehetővé teszi tanúsítvány feltérképezése minden egyes alkalommal a kliens egy kliens tanúsítványt, a szerver alkalmazás automatikusan hozzárendeli a felhasználótól a megfelelő Windows felhasználói fiókot.
A legtöbb esetben a tanúsítvány leképezve egy felhasználói fiókot kétféleképpen.
Egy tanúsítvány van leképezve egy felhasználói fiókot (összehasonlítás „12:59”).
Több tanúsítványok vannak leképezve egy felhasználói fiókot (összehasonlítás „sok egy”).
Alapértelmezett Schannel szolgáltató az alábbi négy módszer térképének bizonyítványok felsorolt sorrendben.
Certificate mapping "szolgáltatást igénybe vevő" (S4U) Kerberos.
Összehasonlítása UPN.
Összehasonlítása a „1-1” (más néven az összehasonlítása „alany / szállító”).
Összehasonlítása „sokan egy”.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Ez a bejegyzés határozza meg a kiadó cache mérete és összehasonlítására alkalmazható a kiadó. Schannel SSP megpróbálja egyeztetni összes megjelenítő ügyfél tanúsítványláncát, nem csak a közvetlen megjelenítő kliens tanúsítványt. Amikor a kiadók nem illeszkedik egy fiókot, hogy egy tipikus eset, hogy a szerver megkísérli újra összefüggésbe ugyanazt a kiadó neve, több száz alkalommal másodpercenként.
Ennek elkerülése érdekében, a szerver negatív cache, és ha a kiadó nem egyezik meg a fiók nevét, akkor hozzáadjuk a cache, és Schannel SSP nem próbálja újra összehasonlítani ezt a kiadó nevét, amíg a bejegyzés lejár lépéseket. Ez a bejegyzés megadja a gyorsítótár méretének. Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Az alapértelmezett érték 100.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Ez a bejegyzés hosszát határozza meg a cache időtúllépési idő ezredmásodpercben. Schannel SSP megpróbálja egyeztetni összes megjelenítő ügyfél tanúsítványláncát, nem csak a közvetlen megjelenítő kliens tanúsítványt. Amikor a kiadók nem felelnek meg a számla, amely meglehetősen tipikus, hogy a szerver megkísérli újra összefüggésbe ugyanazt a kiadó neve, több száz alkalommal másodpercenként.
Ennek elkerülése érdekében, a szerver negatív cache, és ha a kiadó nem egyezik meg a fiók nevét, akkor hozzáadjuk a cache, és Schannel SSP nem próbálja újra összehasonlítani ezt a kiadó nevét, amíg a bejegyzés lejár lépéseket. Ez a gyorsítótár tárolja a teljesítmény javítása érdekében, a rendszer nem terjedt ki, hogy megfeleljen az azonos kiadók. Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Az alapértelmezett érték - 10 perc.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Ez az alfejezet a felhasználásával működik kulcscserét algoritmusok.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Tiltsa le a kulcs csere algoritmus hozza létre az Enabled bejegyzés a megfelelő szekcióba. Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Miután létrehozta ezt a bejegyzést, módosítsa a DWORD értéket 0-ra Ha kikapcsolja bármilyen algoritmust letiltja az összes kódolókészlet használó ezt az algoritmust. Annak érdekében, hogy kulcsfontosságú algoritmussal, változtassa meg a duplaszóértéket 1.
Táblázat alfejezetek KeyExchangeAlgorithm
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Ez az alpont meghatározza a használatát a PCT protokollt.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ jegyzőkönyvek
Tiltsa le a PCT protokoll create Enabled bejegyzés a megfelelő szekcióba. Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Miután létrehozta ezt a bejegyzést, módosítsa a DWORD értéket 0-ra engedélyezéséhez protokoll megváltoztatásához duplaszóértéket 1.
Táblázat alfejezetek PCT
Ez a bejegyzés szabályozza a zászlót, hogy használják, küldje el a listát a megbízható kiadók. Abban az esetben, szerverek, amelyek megbízható száz CA kliens hitelesítés, túl sok a kiadók, a szerver küldi el a kliens számítógépen, amikor az Ön által kért ügyfélhitelesítés. Ebben az esetben, akkor beállíthatja a registry kulcsot, és ahelyett, hogy küldjön egy teljes lista Schannel SSP nem küld ügyfél listáját.
Ha a listát a megbízható kiadók nem kell küldeni, mert ez befolyásolhatja az is, hogy az ügyfél elküldi válaszként a kliens tanúsítvány kérelmet. Például kérelem érkezett a kliens hitelesítés, az Internet Explorer megjeleníti csak a kliens tanúsítványok a láncban kapcsolódó egyik központja a hitelesítő szerver által küldött. Ha a szerver nem felel meg a listán, az Internet Explorer megjeleníti az összes klienstanúsítványokat telepített kliens.
Ez a viselkedés lehet kívánatos. Például, amikor a közeg kereszt PKI tanúsítványok, az ügyfél és a kiszolgáló tanúsítványt nem lesz ugyanaz a gyökere CA; úgyhogy az Internet Explorer nem találja a tanúsítványt, amelyik az egyik CA szerver. Ha a szerver úgy van beállítva, hogy ne küldje el a listát a megbízható kiadók, az Internet Explorer küld az összes tanúsítványokat.
Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Az alapértelmezett érték - Ez igaz.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Ez a bejegyzés határozza meg az idő ezredmásodpercben, ami után az operációs rendszer lejár gyorsítótárbejegyzések a szerver oldalon. A 0 érték letiltja cache ülésén a szerver oldalon, és megtiltja a visszakapcsolást. Ha ServerCacheTime nagyobb értéket ad meg, mint az alapértelmezett, Lsass.exe fogyaszt memóriát. Minden egyes munkamenet cache elem tipikusan 2-4 kB memóriával. Ez a bejegyzés nem létezik az alapértelmezett adatbázist.
Alkalmazható változat. tüntetni az Alkalmazások listáját az elején ezt a cikket.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
Cache alapértelmezett idő szerver. 10:00
Ez az alpont ellenőrzi az SSL használatával 2.0.
Alapértelmezésben kliens számítógépek a Windows SSL 2.0 tiltva.
Alkalmazható változat. felsorolt alkalmazások korábban ebben a cikkben, kivéve az ügyfél Windows.
Az útvonal a registry-ben. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ jegyzőkönyvek
Letiltja az SSL 2.0 protokoll létrehozása Enabled bejegyzés a megfelelő szekcióba. Ez a bejegyzés nem létezik az alapértelmezett adatbázist. Miután létrehozta ezt a bejegyzést, módosítsa a DWORD értéket 0-ra engedélyezéséhez protokoll megváltoztatásához duplaszóértéket 1.
Táblázat SSL 2.0 alfejezetek
A rendszer titkosítás: FIPS szabványnak megfelelő algoritmusok használata titkosításhoz, tördelési és aláírása.
(Ez a csoportházirend-beállítás a biztonsági beállításokat.)
Változások E paraméter határozza meg, hogy a Schannel SSP támogatja a TLS protokoll a kliens (vagy a szerver, ha van ilyen), és hogy ez csak a következő algoritmusok:
Triple DES titkosítást TLS forgalom;
RSA nyilvános kulcsú titkosítási algoritmus a TLS kulcs csere és hitelesítés;
SHA-1 algoritmus TLS.
Az ügyfél és a kiszolgáló támogatja ezeket algoritmusok és TLS keresztül kommunikálnak biztonságos csatornán alkalmazás. Például, ha ezt a beállítást, akkor is be kell állítania az Internet Explorer használata TLS (amely alapértelmezésben le van tiltva) csatlakozni a HTTPS a szerver ezt az opciót.