Estou usando uma sequência de tarefas MEMCM para construir servidores executando o Windows Server 2019. Até agora, construí 22 servidores com este sistema operacional. Ao final do OSD, em 20 deles tenho apenas 10 conjuntos de criptografia disponíveis para uso.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
Nos dois servidores com mais conjuntos de criptografia, tenho disponíveis os 31 conjuntos de criptografia a seguir.
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
TLS_PSK_WITH_AES_256_GCM_SHA384
TLS_PSK_WITH_AES_128_GCM_SHA256
TLS_PSK_WITH_AES_256_CBC_SHA384
TLS_PSK_WITH_AES_128_CBC_SHA256
TLS_PSK_WITH_NULL_SHA384
TLS_PSK_WITH_NULL_SHA256
Nos servidores com conjunto limitado de conjuntos de criptografia, adicionei as chaves de registro necessárias para ativar o TLS 1.2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2e reiniciei, mas ainda não há mais nada. E nos servidores com os 31 conjuntos de criptografia, não sei o que foi alterado para que fiquem disponíveis. Também tentei usar Enable-TlsCipherSuite -Name XXXsem sucesso. Por fim, os servidores são atualizados com as atualizações de agosto de 2020.
Alguma ideia de por que faltam cifras e como posso adicioná-las?
Responder1
O TLS 1.2 está habilitado por padrão.
A chave de registro para cifras é:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
Responder2
Razão estúpida. Havia um GPO antigo que limitava a lista de cifras a essas 10 cifras. rsopnão estava mostrando nada, mas gpresult /hestava mostrando o que eu precisava. :)
Responder3
Você pode simplesmente usar a criptografia do IIS. Use esta ferramenta para ativar, desativar conjuntos de criptografia e alterar sua ordem.https://www.nartac.com/Products/IISCrypto/Download