Gerenciar o protocolo TLS

Configurando a Ordem de Pacotes de Criptografia TLS

Diferentes versões do Windows dão suporte a diferentes conjuntos de criptografia TLS e ordens de prioridade. Consulte Pacotes de Criptografia no TLS/SSL (SSP do Schannel) para obter a ordem padrão compatível com o Provedor do Microsoft Schannel em diferentes versões do Windows.

Observação

Você também pode modificar a lista de pacotes de criptografia usando funções CNG; confira Priorizando pacotes de criptografia Schannel para obter detalhes.

Alterações na ordem de pacotes de criptografia TLS entrarão em vigor na próxima inicialização. Até reiniciar ou desligar, a ordem existente permanecerá em vigor.

Aviso

Não há suporte para atualizar as configurações do registro para a ordenação de prioridade padrão, e isso pode ser redefinido com atualizações de manutenção.

Configurando a Ordem do Conjunto de Criptografia TLS usando a Política de Grupo

Você pode usar as configurações da Política de Grupo de Ordem de Pacotes de Criptografia SSL para definir a ordem padrão dos pacotes de criptografia TLS.

  1. No Console de Gerenciamento de Política de Grupo, vá para Configuração do Computador>Modelos Administrativos>Rede>Configurações de SSL.

  2. Clique duas vezes em Ordem de Pacotes de Criptografia SSL e clique na opção Habilitado.

  3. Clique com o botão direito do mouse na caixa Pacotes de Criptografia SSL e selecione Selecionar tudo no menu pop-up.

    Configuração da Política de Grupo

  4. Clique com o botão direito do mouse no texto selecionado e selecione copiar no menu pop-up.

  5. Cole o texto em um editor de texto, como notepad.exe, e atualize com a nova lista de ordem de pacotes de criptografia.

    Observação

    A lista de ordem de pacotes de criptografia TLS precisa estar estritamente em um formato delimitado por vírgulas. Cada cadeia de caracteres do pacote de criptografia terminará com uma vírgula (,) ao lado direito.

    Além disso, a lista de pacotes de criptografia é limitada a 1.023 caracteres.

  6. Substitua a lista em Pacotes de Criptografia SSL pela lista ordenada atualizada.

  7. Clique em OK ou em Aplicar.

Configurando a Ordem do Conjunto de Criptografia TLS usando o MDM

O CSP de Política do Windows 10 dá suporte à configuração dos Pacotes de Criptografia TLS. Consulte Cryptography/TLSCipherSuites para obter mais informações.

Configurando a Ordem do Pacote de Criptografia TLS usando cmdlets TLS do PowerShell

O módulo TLS do PowerShell dá suporte à obtenção da lista ordenada de pacotes de criptografia TLS e à desabilitação e habilitação de um conjunto de criptografia. Consulte Módulo TLS para obter mais informações.

Configurando a Ordem de Curva ECC TLS

Começando com Windows 10 e Windows Server 2016, a ordem de curva ECC pode ser configurada independentemente da ordem do pacote de criptografia. Se a lista da ordem de pacotes de criptografia TLS tiver sufixos de curva elíptica, eles serão substituídos pela nova ordem de prioridade de curva elíptica, quando habilitada. Isso permite que as organizações usem um objeto de Política de Grupo para configurar diferentes versões do Windows com a mesma ordem de pacotes de criptografia.

Observação

Antes do Windows 10, as cadeias de caracteres do conjunto de criptografia eram acrescentadas com a curva elíptica para determinar a prioridade da curva.

Gerenciando curvas ECC do Windows usando CertUtil

Começando com o Windows 10 e o Windows Server 2016, o Windows fornece gerenciamento de parâmetros de curva elíptica por meio do utilitário de linha de comando certutil.exe. Os parâmetros de curva elíptica são armazenados em bcryptprimitives.dll. Usando certutil.exe, os administradores podem adicionar e remover parâmetros de curva de e para o Windows, respectivamente. Certutil.exe armazena os parâmetros de curva com segurança no registro. O Windows pode começar a usar os parâmetros de curva pelo nome associado à curva.

Exibindo curvas registradas

Use o comando certutil.exe a seguir para exibir uma lista de curvas registradas para o computador atual.

certutil.exe –displayEccCurve

Curvas de exibição de Certutil

Figura 1 Saída de Certutil.exe para exibir a lista de curvas registradas.

Adicionando uma nova curva

As organizações podem criar e usar parâmetros de curva pesquisados por outras entidades confiáveis. Administradores que desejam usar essas novas curvas no Windows devem adicionar a curva. Use o seguinte comando certutil.exe para adicionar uma curva ao computador atual:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • O argumento curveName representa o nome da curva sob a qual os parâmetros de curva foram adicionados.
  • O argumento curveParameters representa o nome do arquivo de um certificado que contém os parâmetros das curvas que você deseja adicionar.
  • O argumento curveOid representa um nome de arquivo de um certificado que contém o OID dos parâmetros de curva que você deseja adicionar (opcional).
  • O argumento curveType representa um valor decimal da curva nomeada do Registro de Curva Nomeada do EC (opcional).

Adicionar curvas com certutil

Figura 2 Adicionando uma curva usando certutil.exe.

Removendo uma curva adicionada anteriormente

Administradores podem remover uma curva adicionada anteriormente usando o seguinte comando certutil.exe:

certutil.exe –deleteEccCurve curveName

O Windows não pode usar uma curva nomeada depois que um administrador a remove do computador.

Gerenciando curvas ECC do Windows usando uma Política de Grupo

As organizações podem distribuir parâmetros de curva para um computador corporativo, ingressado no domínio, usando a Política de Grupo e a extensão do Registro de Preferências da Política de Grupo. O processo para distribuir uma curva é:

  1. No Windows 10 e no Windows Server 2016, use certutil.exe para adicionar uma nova curva nomeada registrada ao Windows.

  2. Nesse mesmo computador, abra o GPMC (Console de Gerenciamento de Política de Grupo), crie um objeto de Política de Grupo e edite-o.

  3. Vá até Computer Configuration|Preferences|Windows Settings|Registry. Clique com o botão direito do mouse em Registro. Passe o mouse sobre Novo e selecione Item de Coleção. Renomeie o item de coleção para corresponder ao nome da curva. Você criará um item de Coleção do Registro para cada chave do registro em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configure a coleção de Registros de preferência de Política de Grupo recém-criada adicionando um novo Item do Registro para cada valor do registro listado em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Implante o objeto de Política de Grupo que contém o item de Coleção de Registros de Política de Grupo em computadores Windows 10 e Windows Server 2016 que devem receber as novas curvas nomeadas.

    Captura de tela da guia Preferências do Editor de Gerenciamento de Política de Grupo.

    Figura 3 Usando preferências de Política de Grupo para distribuir curvas

Gerenciando a ordem TLS ECC

Começando com o Windows 10 e o Windows Server 2016, as configurações de política de grupo da Ordem de Curva ECC podem ser usadas para configurar a Ordem de Curva TLS ECC padrão. Usando o ECC Genérico e essa configuração, as organizações podem adicionar as próprias curvas nomeadas confiáveis (que são aprovadas para uso com TLS) ao sistema operacional e, em seguida, adicionar essas curvas nomeadas à configuração de Política de Grupo de prioridade de curva para garantir que elas sejam usadas em handshakes TLS futuros. Novas listas de prioridades de curva ficam ativas na próxima reinicialização depois de receber as configurações de política.

Captura de tela da caixa de diálogo Ordem de Curva do EEC.

Figura 4 Gerenciando a prioridade de curva TLS usando a Política de Grupo