Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Configurare l'ordine della suite di crittografia TLS
Una suite di cifratura è un insieme di algoritmi crittografici. Versioni di Windows diverse supportano pacchetti di crittografia TLS e ordini di priorità diversi. Vedere Pacchetti di crittografia in TLS/SSL (SSP Schannel) per l'ordine predefinito supportato dal provider Microsoft Schannel in versioni diverse di Windows.
Nota
È anche possibile modificare l'elenco dei pacchetti di crittografia usando le funzioni CNG, vedere Definizione delle priorità dei pacchetti di crittografia Schannel per informazioni dettagliate.
Le modifiche apportate all'ordine della suite di crittografia TLS diventano effettive all'avvio successivo. Fino al riavvio o all'arresto, l'ordine esistente è attivo.
Avviso
L'aggiornamento delle impostazioni del Registro di sistema per l'ordinamento di priorità predefinito non è supportato e potrebbe essere reimpostato con gli aggiornamenti di manutenzione.
Configurare l'ordine della suite di crittografia TLS usando Criteri di gruppo
È possibile usare le impostazioni dell'ordine della suite di crittografia SSL nei Criteri di gruppo per configurare l'ordine predefinito della suite di crittografia TLS.
Dalla Console Gestione Criteri di gruppo, passare a Configurazione computer>Modelli amministrativi>Rete>Impostazioni di configurazione SSL.
Fare doppio clic su SSL Cipher Suite Order e quindi selezionare l'opzione Abilitato .
Fare clic con il pulsante destro del mouse sulla casella Pacchetti di crittografia SSL e scegliere Seleziona tutto dal menu a comparsa.
Fare clic con il pulsante destro del mouse sul testo selezionato e scegliere Copia dal menu a comparsa.
Copia il testo in un editor di testo come notepad.exe e aggiorna con il nuovo ordine dei pacchetti di crittografia.
Nota
L'elenco di ordini dei pacchetti di crittografia TLS deve essere in formato delimitato da virgole. Ogni stringa della suite di crittografia termina con una virgola a destra. Inoltre, l'elenco dei pacchetti di crittografia è limitato a 1.023 caratteri.
Sostituire l'elenco nelle suite di crittografia SSL con l'elenco ordinato aggiornato.
Selezionare OK o Applica.
Configurare l'ordine della suite di crittografia TLS tramite MDM
Il Policy CSP di Windows 10 supporta la configurazione dei pacchetti di crittografia TLS. Per altre informazioni, vedere Cryptography/TLSCipherSuites.
Configurare l'ordine della suite di crittografia TLS usando i cmdlet di PowerShell TLS
Il modulo TLS PowerShell supporta l'acquisizione dell'elenco ordinato di pacchetti di crittografia TLS, la disabilitazione di un pacchetto di crittografia e l'abilitazione di un pacchetto di crittografia. Per altre informazioni, vedere Modulo TLS.
Configurare l'ordine della curva TLS ECC
A partire da Windows 10 e Windows Server 2016, l'ordine della curva ECC può essere configurato indipendentemente dall'ordine della suite di crittografia. Se l'elenco di ordini della suite di crittografia TLS dispone di suffissi a curva ellittica, questi verranno sottoposti a override dal nuovo ordine di priorità della curva ellittica, se abilitato. Ciò consente alle organizzazioni di usare un oggetto Criteri di gruppo per configurare versioni diverse di Windows Server con lo stesso ordine di pacchetti di crittografia.
Gestire le curve ECC con CertUtil
A partire da Windows 10 e Windows Server 2016, Windows fornisce la gestione dei parametri della curva ellittica tramite l'utilità della riga di comando certutil.exe. I parametri della curva ellittica vengono archiviati in bcryptprimitives.dll. Gli amministratori possono aggiungere e rimuovere parametri di curva da e verso Windows Server usando certutil.exe. Certutil.exe archivia i parametri della curva in modo sicuro nel registro. Windows Server può iniziare a usare i parametri della curva in base al nome associato alla curva.
Visualizzare le curve registrate
Usare il comando certutil.exe seguente per visualizzare un elenco di curve registrate per il computer corrente.
certutil.exe –displayEccCurve
Aggiungere una nuova curva
Le organizzazioni possono creare e usare parametri di curva ricercati da altre entità attendibili. Gli amministratori che desiderano usare queste nuove curve in Windows devono aggiungere la curva. Usare il comando certutil.exe seguente per aggiungere una curva al computer corrente:
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- L'argomento curveName rappresenta il nome della curva in cui sono stati aggiunti i parametri della curva.
- L'argomento curveParameters rappresenta il nome file di un certificato che contiene i parametri delle curve da aggiungere.
- L'argomento curveOid rappresenta un nome file di un certificato che contiene l'OID dei parametri della curva da aggiungere (facoltativo).
- L'argomento curveType rappresenta un valore decimale della curva identificata dal Registro delle Curve Denominate EC (facoltativo).
Rimuovere una curva aggiunta in precedenza
Gli amministratori possono rimuovere una curva aggiunta in precedenza usando il comando certutil.exe seguente:
certutil.exe –deleteEccCurve curveName
Windows non può usare una curva denominata dopo che un amministratore rimuove la curva dal computer.
Gestire le curve ECC usando Criteri di gruppo
Le organizzazioni possono distribuire parametri di curva a computer aziendali, connessi al dominio, usando Criteri di gruppo e l'estensione Registro preferenze criteri di gruppo. Il processo di distribuzione di una curva è:
Usare certutil.exe per aggiungere una nuova curva denominata registrata.
Dallo stesso computer, aprire la Console di gestione dei criteri di gruppo (GPMC), creare un nuovo oggetto Criteri di gruppo e modificarlo.
Passare a Configurazione computer |Preferenze |Impostazioni di Windows |Registro di sistema. Fare clic con il pulsante destro del mouse su Registry. Passare il puntatore del mouse su Nuovo e selezionare Elemento raccolta. Rinominare l'elemento della raccolta in modo che corrisponda al nome della curva. Crei un elemento della raccolta del Registro di sistema per ogni chiave sotto HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.
Configurare la raccolta delle preferenze Criteri di gruppo del Registro di sistema appena creata aggiungendo un nuovo elemento del Registro di sistema per ogni valore del Registro di sistema elencato in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].
Distribuire l'oggetto Criteri di gruppo contenente l'elemento Raccolta Registro Criteri di gruppo per i computer che devono ricevere le nuove curve denominate.
Gestire l'ordine TLS ECC
A partire da Windows 10 e Windows Server 2016, è possibile utilizzare le impostazioni dei criteri di gruppo dell'ordine della curva ECC per configurare l'ordine predefinito delle curve ECC in TLS. Le organizzazioni possono aggiungere le proprie curve denominate attendibili al sistema operativo e quindi aggiungere tali curve denominate all'impostazione del Criterio di gruppo di priorità delle curve per assicurarsi che vengano usate in future handshake TLS. I nuovi elenchi di priorità della curva diventano attivi al successivo riavvio, dopo aver ricevuto le impostazioni dei criteri.
