Gérer TLS (Transport Layer Security)

Configuration de l’ordre de la suite de chiffrement du protocole TLS

Les suites de chiffrement TLS prises en charge et l’ordre de priorité varient selon les versions de Windows. Consultez Suites de chiffrement dans TLS/SSL (SSP Schannel) pour connaître l’ordre par défaut pris en charge par le fournisseur Microsoft Schannel dans différentes versions de Windows.

Notes

Vous pouvez également modifier la liste des suites de chiffrement à l’aide de fonctions CNG. Pour plus d’informations, consultez Priorisation des suites de chiffrement Schannel.

Les modifications apportées à l’ordre de suite de chiffrement du protocole TLS prennent effet au démarrage suivant. Jusqu’au redémarrage ou à l’arrêt, l’ordre existant sera en vigueur.

Avertissement

La mise à jour des paramètres de Registre pour l’ordre de priorité par défaut n’est pas prise en charge et peut être réinitialisée avec les mises à jour de maintenance.

Configuration de l’ordre des suites de chiffrement du protocole TLS avec une stratégie de groupe

Vous pouvez utiliser les paramètres de la stratégie de groupe de l’ordre de suite de chiffrement SSL pour configurer l’ordre de suite de chiffrement du protocole TLS par défaut.

  1. Dans la console de gestion de stratégie de groupe, accédez à Configuration de l’ordinateur>Modèles d’administration>Réseau>Paramètres de la configuration SSL.

  2. Double-cliquez sur Ordre de la suite de chiffrement SSL, puis cliquez sur l’option Activé.

  3. Cliquez avec le bouton droit sur la zone Suites de chiffrement SSL et sélectionnez Sélectionner tout dans le menu contextuel.

    Paramètre de stratégie de groupe

  4. Cliquez avec le bouton droit sur le texte sélectionné, puis sélectionnez Copier dans le menu contextuel.

  5. Collez le texte dans un éditeur de texte tel que notepad.exe et mettez à jour avec la nouvelle liste de commandes de suite de chiffrement.

    Notes

    La liste de commandes de la suite de chiffrement TLS doit être au format strict délimité par des virgules. Chaque chaîne de suite de chiffrement se termine par une virgule (,) à droite de celle-ci.

    En outre, la liste des suites de chiffrement est limitée à 1 023 caractères.

  6. Remplacez la liste dans les suites de chiffrement SSL par la liste ordonnée mise à jour.

  7. Cliquez sur OK ou Appliquer.

Configuration de l’ordre de suite de chiffrement du protocole TLS à l’aide de MDM

Le fournisseur de solutions cloud de stratégie Windows 10 prend en charge la configuration des suites de chiffrement TLS. Pour plus d’informations, consultez Cryptography/TLSCipherSuites.

Configuration de l’ordre des suites de chiffrement TLS avec les applets PowerShell TLS

Le module TLS PowerShell prend en charge l’obtention de la liste ordonnée des suites de chiffrement TLS, la désactivation d’une suite de chiffrement et l’activation d’une suite de chiffrement. Pour plus d’informations, consultez Module TLS.

Configuration de l’ordre des courbes TLS ECC

À compter de Windows 10 & Windows Server 2016, l’ordre de courbe ECC peut être configuré indépendamment de l’ordre de la suite de chiffrement. Si la liste de commandes de la suite de chiffrement TLS a des suffixes de courbe elliptique, elles seront remplacées par le nouvel ordre de priorité de courbe elliptique, lorsque cette option est activée. Cela permet aux organisations d’utiliser un objet de stratégie de groupe pour configurer différentes versions de Windows avec le même ordre de suites de chiffrement.

Notes

Avant Windows 10, les chaînes de suite de chiffrement ont été ajoutées avec la courbe elliptique pour déterminer la priorité de la courbe.

Gestion des courbes Windows ECC à l’aide de CertUtil

À compter de Windows 10 et de Windows Server 2016, Windows fournit une gestion des paramètres de courbe elliptique via l’utilitaire de ligne de commande certutil.exe. Les paramètres de courbe elliptique sont stockés dans le bcryptprimitives.dll. À l’aide de certutil.exe, les administrateurs peuvent ajouter et supprimer des paramètres de courbe à partir de Windows, respectivement. Certutil.exe stocke les paramètres de courbe en toute sécurité dans le Registre. Windows peut commencer à utiliser les paramètres de courbe par le nom associé à la courbe.

Affichage des courbes inscrites

Utilisez la commande certutil.exe suivante pour afficher une liste de courbes inscrites pour l’ordinateur actuel.

certutil.exe –displayEccCurve

Courbes d’affichage Certutil

Sortie Figure 1 Certutil.exe pour afficher la liste des courbes inscrites.

Ajout d’une nouvelle courbe

Les organisations peuvent créer et utiliser des paramètres de courbe recherchés par d’autres entités approuvées. Les administrateurs qui souhaitent utiliser ces nouvelles courbes dans Windows doivent ajouter la courbe. Utilisez la commande certutil.exe suivante pour ajouter une courbe à l’ordinateur actuel :

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • L’argument curveName représente le nom de la courbe sous laquelle les paramètres de courbe ont été ajoutés.
  • L’argument curveParameters représente le nom de fichier d’un certificat qui contient les paramètres des courbes à ajouter.
  • L’argument curveOid représente un nom de fichier d’un certificat qui contient l’OID des paramètres de courbe que vous souhaitez ajouter (facultatif).
  • L’argument curveType représente une valeur décimale de la courbe nommée du Registre de courbes nommées EC (facultatif).

Certutil ajouter des courbes

Figure 2 Ajout d’une courbe à l’aide de certutil.exe.

Suppression d’une courbe précédemment ajoutée

Les administrateurs peuvent supprimer une courbe précédemment ajoutée à l’aide de la commande certutil.exe suivante :

certutil.exe –deleteEccCurve curveName

Windows ne peut pas utiliser une courbe nommée après qu’un administrateur supprime la courbe de l’ordinateur.

Gestion des courbes Windows ECC à l’aide de la stratégie de groupe

Les organisations peuvent distribuer des paramètres de courbe à l’entreprise, joint à un domaine, à l’ordinateur à l’aide de la stratégie de groupe et de l’extension de Registre des préférences de la stratégie de groupe. Le processus de distribution d’une courbe est le suivant :

  1. Sur Windows 10 et Windows Server 2016, utilisez certutil.exe pour ajouter une nouvelle courbe nommée inscrite à Windows.

  2. À partir de ce même ordinateur, ouvrez la console de gestion de la stratégie de groupe, créez un objet de stratégie de groupe et modifiez-le.

  3. Accédez à Configuration utilisateur|Préférences|Paramètres Windows|Registre. Cliquez avec le bouton droit sur Registre. Pointez sur Nouveau, puis sélectionnez Élément de collection. Renommez l’élément de collection pour correspondre au nom de la courbe. Vous allez créer un élément de Collection de registre pour chaque clé de registre sous HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configurez la Collection de registre de préférences de stratégie de groupe nouvellement créée en ajoutant un nouvel Élément de registre pour chaque valeur de Registre répertoriée sous HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Déployez l’objet de la stratégie de groupe contenant la stratégie de groupe de l’élément de la collection de Registre sur Windows 10 et les ordinateurs Windows Server 2016 qui doivent recevoir les nouvelles courbes nommées.

    Capture d’écran de l’onglet Préférences de l’Éditeur de gestion stratégie de groupe.

    Figure 3 Utilisation des préférences de la stratégie de groupe pour distribuer les courbes

Gestion de l’ordre ECC TLS

À compter de Windows 10 et de Windows Server 2016, les paramètres de la stratégie de groupe de commandes de courbe ECC peuvent être utilisés pour configurer l’ordre de courbe TLS ECC par défaut. À l’aide d’ECC générique et de ce paramètre, les organisations peuvent ajouter leurs propres courbes nommées approuvées (approuvées pour une utilisation avec le protocole TLS) au système d’exploitation, puis ajouter ces courbes nommées au paramètre de priorité de courbe de la stratégie de groupe pour s’assurer qu’elles sont utilisées dans les futures liaisons du protocole TLS. Les nouvelles listes de priorité de courbes deviennent actives lors du redémarrage suivant après avoir reçu les paramètres de stratégie.

Capture d’écran de la boîte de dialogue Ordre de courbe ECC.

Figure 4 Gestion de la priorité de la courbe TLS à l’aide de la stratégie de groupe