Verwalten von TLS (Transport Layer Security)

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

Konfigurieren der TLS-Cipher Suite-Reihenfolge

Verschiedene Windows Versionen unterstützen verschiedene TLS-Verschlüsselungssuiten und Prioritätsreihenfolge. Siehe Cipher Suites in TLS/SSL (Schannel SSP) für die Standardreihenfolge, die vom Microsoft Schannel-Anbieter in verschiedenen Windows Versionen unterstützt wird.

Hinweis

Sie können auch die Liste der Verschlüsselungssuiten mithilfe von CNG-Funktionen ändern, siehe Prioritisieren von Schannel Cipher Suites für Details.

Änderungen an der TLS-Cipher-Suite-Reihenfolge werden auf dem nächsten Start wirksam. Bis zum Neustart oder Herunterfahren wird die vorhandene Reihenfolge wirksam.

Warnung

Das Aktualisieren der Registrierungseinstellungen für die Standardprioritätsreihenfolge wird nicht unterstützt und kann mit Wartungsupdates zurückgesetzt werden.

Konfigurieren der TLS-Cipher Suite-Reihenfolge mithilfe von Gruppenrichtlinie

Sie können die Einstellungen für die SSL-Cipher Suite-Reihenfolge Gruppenrichtlinie verwenden, um die Standardreihenfolge für TLS-Cipher-Suite zu konfigurieren.

  1. Wechseln Sie in der Gruppenrichtlinie Verwaltungskonsole zu Computer ConfigurationAdministrative >TemplatesNetworkSSL>>Configuration Einstellungen.

  2. Doppelklicken Sie auf ssl Cipher Suite Order, und klicken Sie dann auf die Option "Aktiviert" .

  3. Klicken Sie mit der rechten Maustaste auf das Feld SSL Cipher Suites , und wählen Sie " Alle auswählen " im Popupmenü aus.

    Group Policy setting

  4. Klicken Sie mit der rechten Maustaste auf den ausgewählten Text, und wählen Sie im Popupmenü kopieren aus.

  5. Fügen Sie den Text in einen Text-Editor ein, z. B. notepad.exe, und aktualisieren Sie sie mit der neuen Listenreihenfolge der Verschlüsselungssuite.

    Hinweis

    Die TLS-Cipher-Suite-Bestellliste muss sich in streng getrennten Komma-Formaten befinden. Jede Cipher-Suite-Zeichenfolge endet mit einem Komma (,) rechts davon.

    Darüber hinaus ist die Liste der Verschlüsselungssuiten auf 1.023 Zeichen beschränkt.

  6. Ersetzen Sie die Liste in den SSL Cipher Suites durch die aktualisierte sortierte Liste.

  7. Klicken Sie auf OK oder Übernehmen.

Konfigurieren der TLS-Cipher Suite-Bestellung mithilfe von MDM

Die Windows 10 Richtlinien-CSP unterstützt die Konfiguration der TLS Cipher Suites. Weitere Informationen finden Sie unter Kryptografie/TLSCipherSuites .

Konfigurieren der TLS-Cipher Suite-Reihenfolge mithilfe von TLS PowerShell-Cmdlets

Das TLS PowerShell-Modul unterstützt das Abrufen der sortierten Liste der TLS-Verschlüsselungssuiten, das Deaktivieren einer Cipher-Suite und das Aktivieren einer Cipher-Suite. Weitere Informationen finden Sie im TLS-Modul .

Konfigurieren der TLS ECC-Kurvenreihenfolge

Ab Windows 10 Windows Server 2016 & kann ECC-Kurvenreihenfolge unabhängig von der Cipher-Suite-Reihenfolge konfiguriert werden. Wenn die TLS-Verschlüsselungsreihenfolge liste elliptische Kurvensuffixe aufweist, werden sie durch die neue elliptische Kurvenprioritätsreihenfolge überschrieben, wenn dies aktiviert ist. Dadurch können Organisationen ein Gruppenrichtlinie-Objekt verwenden, um verschiedene Versionen von Windows mit derselben Verschlüsselungsreihenfolge zu konfigurieren.

Hinweis

Vor Windows 10 wurden Verschlüsselungs suite-Zeichenfolgen mit der elliptischen Kurve angefügt, um die Kurvenpriorität zu bestimmen.

Verwalten von Windows ECC-Kurven mithilfe von CertUtil

Ab Windows 10 und Windows Server 2016 bietet Windows die elliptische Kurvenparameterverwaltung über das Befehlszeilenprogramm certutil.exe. Elliptische Kurvenparameter werden im bcryptprimitives.dll gespeichert. Mithilfe von certutil.exe können Administratoren Kurvenparameter zu Windows hinzufügen und entfernen. Certutil.exe speichert die Kurvenparameter sicher in der Registrierung. Windows können mit der Verwendung der Kurvenparameter durch den Namen beginnen, der der Kurve zugeordnet ist.

Anzeigen von registrierten Kurven

Verwenden Sie den folgenden befehl certutil.exe, um eine Liste der für den aktuellen Computer registrierten Kurven anzuzeigen.

certutil.exe –displayEccCurve

Certutil display curves

Abbildung 1 Certutil.exe Ausgabe, um die Liste der registrierten Kurven anzuzeigen.

Hinzufügen einer neuen Kurve

Organisationen können Kurvenparameter erstellen und verwenden, die von anderen vertrauenswürdigen Entitäten untersucht werden. Administratoren, die diese neuen Kurven in Windows verwenden möchten, müssen die Kurve hinzufügen. Verwenden Sie den folgenden certutil.exe Befehl, um einem aktuellen Computer eine Kurve hinzuzufügen:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Das Argument "curveName " stellt den Namen der Kurve dar, unter der die Kurvenparameter hinzugefügt wurden.
  • Das Argument curveParameters stellt den Dateinamen eines Zertifikats dar, das die Parameter der kurven enthält, die Sie hinzufügen möchten.
  • Das CurveOid-Argument stellt einen Dateinamen eines Zertifikats dar, das den OID der OID der Kurvenparameter enthält, die Sie hinzufügen möchten (optional).
  • Das CurveType-Argument stellt einen Dezimalwert der benannten Kurve aus der EC Named Curve Registry (optional) dar.

Certutil add curves

Abbildung 2 Hinzufügen einer Kurve mit certutil.exe.

Entfernen einer zuvor hinzugefügten Kurve

Administratoren können eine zuvor hinzugefügte Kurve mithilfe des folgenden certutil.exe Befehls entfernen:

Certutil.exe –deleteEccCurve curveName

Windows kann keine benannte Kurve verwenden, nachdem ein Administrator die Kurve vom Computer entfernt hat.

Verwalten von Windows ECC-Kurven mithilfe von Gruppenrichtlinie

Organisationen können Kurvenparameter mithilfe von Gruppenrichtlinie und der Gruppenrichtlinie Registrierungserweiterung auf Unternehmens-, Domänen- und Computer verteilen. Der Prozess zum Verteilen einer Kurve lautet:

  1. Verwenden Sie certutil.exeWindows 10 und Windows Server 2016, um eine neue registrierte benannte Kurve zu Windows hinzuzufügen.

  2. Öffnen Sie auf diesem Computer die Gruppenrichtlinie Verwaltungskonsole (GPMC), erstellen Sie ein neues Gruppenrichtlinie-Objekt, und bearbeiten Sie sie.

  3. Navigieren Sie zu Computerkonfiguration| Einstellungen| Windows Einstellungen| Registrierung. Klicken Sie mit der rechten Maustaste auf "Registrierung". Zeigen Sie auf "Neu" , und wählen Sie " Auflistungselement" aus. Benennen Sie das Auflistungselement um, um dem Namen der Kurve zu entsprechen. Sie erstellen ein Registrierungssammlungselement für jeden Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Konfigurieren Sie die neu erstellte Gruppenrichtlinie Einstellungsregistrierungssammlung, indem Sie ein neues Registrierungselement für jeden Registrierungswert hinzufügen, der unter HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] aufgeführt ist.

  5. Stellen Sie das Gruppenrichtlinie -Objekt bereit, das Gruppenrichtlinie Registrierungssammlungselement enthält, um Windows 10 und Windows Server 2016 Computer zu Windows Server 2016, die die neuen benannten Kurven erhalten sollten.

    Screenshot of the Preferences tab of the Group Policy Management Editor.

    Abbildung 3 Verwenden von Gruppenrichtlinie Einstellungen zum Verteilen von Kurven

Verwalten der TLS ECC-Reihenfolge

Ab Windows 10 und Windows Server 2016 können Gruppenrichtlinieneinstellungen der ECC-Kurvenreihenfolge die Standardeinstellung TLS ECC Curve Order konfigurieren. Mit generischem ECC und dieser Einstellung können Organisationen eigene vertrauenswürdige benannte Kurven (die für die Verwendung mit TLS genehmigt sind) zum Betriebssystem hinzufügen und dann diese benannten Kurven zur Kurve priorität Gruppenrichtlinie Einstellung hinzufügen, um sicherzustellen, dass sie in zukünftigen TLS-Handshakes verwendet werden. Neue Kurvenprioritätslisten werden auf dem nächsten Neustart aktiv, nachdem die Richtlinieneinstellungen empfangen wurden.

Screenshot of the EEC Curve Order dialog box.

Abbildung 4 Verwalten der TLS-Kurvenpriorität mithilfe von Gruppenrichtlinie