Această intrare nu există în registrul implicit. Valoarea implicită - care sunt susținute de toate cele patru metode pentru a cartografia certificatele enumerate mai jos.
În cazul în care aplicația server necesită autentificare client, Schannel încearcă automat să se potrivească cu certificatul pe care computerul client cu un cont de utilizator. Puteți autentifica utilizatorii care semnează o certificare client prin crearea de potrivire, care leagă aceste informații cu un cont de utilizator Windows. După ce creați și să activați maparea certificatului de fiecare dată când clientul furnizează un certificat de client, aplicația server atribuie automat acestui utilizator la contul corespunzător de utilizator Windows.
În cele mai multe cazuri, certificatul este mapat la un cont de utilizator într-unul din cele două moduri.
Un certificat este mapat la un singur cont de utilizator (compararea „unu la unu“).
Certificatele multiple sunt mapate la un singur cont de utilizator (compararea „mulți la unu“).
furnizor implicit Schannel va utiliza următoarele patru metode pentru a mapa certificate, enumerate în ordinea priorității.
Certificat de cartografiere "utilizator de serviciu" (S4U) Kerberos.
Compararea UPN.
Compararea „unu la unu“ (de asemenea, menționată ca o comparație a „subiect / furnizor“).
Compararea „mulți la unul“.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
Această intrare determină dimensiunea memoriei cache editor și este utilizat pentru compararea editorului. Schannel SSP încearcă să se potrivească tuturor editorilor din lanț de certificate clientului, nu doar certificatul directă de client editor. Atunci când editorii nu se potrivesc cu un cont care este un caz tipic, serverul poate încerca să re-coreleze același nume al editorului, de sute de ori pe secundă.
Pentru a evita acest lucru, serverul are o memorie cache negativ, iar în cazul în care editorul nu se potrivește cu numele contului, acesta se adaugă la cache, iar Schannel SSP nu va încerca din nou să compare numele acestui editor până la intrarea cache expiră acțiune. Această intrare de registru specifică dimensiunea cache. Această intrare nu există în registrul implicit. Valoarea implicită este de 100.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
Această intrare determină lungimea intervalului de cache timeout în milisecunde. Schannel SSP încearcă să se potrivească tuturor editorilor din lanț de certificate clientului, nu doar certificatul directă de client editor. În cazul în care editorii nu corespund contului, care este destul de tipic, serverul poate încerca să re-coreleze același nume al editorului, de sute de ori pe secundă.
Pentru a evita acest lucru, serverul are o memorie cache negativ, iar în cazul în care editorul nu se potrivește cu numele contului, acesta se adaugă la cache, iar Schannel SSP nu va încerca din nou să compare numele acestui editor până la intrarea cache expiră acțiune. Acest cache este stocată pentru a îmbunătăți performanța, sistemul nu este continuat să încerce să se potrivească aceleași editori. Această intrare nu există în registrul implicit. Valoare implicită - 10 minute.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
Această subsecțiune funcționează utilizând algoritmi de schimb cheie.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
Pentru a dezactiva algoritmul de schimb cheie, creați intrarea activat în secțiunea corespunzătoare. Această intrare nu există în registrul implicit. După ce creați această intrare, modificați valoarea DWORD la 0. Când dezactivați orice algoritm dezactivați toate suitele cifru care utilizează acest algoritm. Pentru a activa algoritmul de schimb de chei, modificați valoarea DWORD la 1.
subsecțiunile Tabelul KeyExchangeAlgorithm
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
Această subsecțiune specifică utilizarea protocolului PCT.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocoale
Pentru a dezactiva protocolul PCT Enabled de intrare în crea secțiunea corespunzătoare. Această intrare nu există în registrul implicit. După ce creați această intrare, modificați valoarea DWORD la 0. Pentru a activa protocolul, modificați valoarea DWORD la 1.
subsecțiunile Tabelul PCT
Această intrare controlează pavilionul sub care este utilizat pentru a trimite lista editorilor de încredere. În cazul serverelor care sunt de încredere de sute de CAs pentru autentificarea clientului, există prea mulți editori, serverul le poate trimite la computerul client atunci când solicitați autentificarea clientului. În acest caz, puteți seta această cheie de registry, și în loc să trimită o listă incompletă Schannel SSP nu va trimite nici o lista de clienți.
În cazul în care lista editorilor de încredere nu va fi trimis, ar putea afecta modul în care clientul trimite ca răspuns la o cerere de certificat client. De exemplu, a primit o cerere de autentificare client, Internet Explorer afișează numai certificatele de client în lanțul asociat cu unul dintre centrele de certificare transmis de server. Dacă serverul nu trece pe lista, Internet Explorer afișează toate certificatele de client care sunt instalate pe client.
Acest comportament poate fi de dorit. De exemplu, în cazul în care mediul cuprinde certificate PKI cruce, certificatul client și serverul nu va avea aceeași rădăcină CA; astfel că Internet Explorer nu poate găsi certificatul care este asociat cu unul dintre serverul CA. Dacă serverul este configurat să nu trimită lista editorilor de încredere, Internet Explorer va trimite toate certificatele.
Această intrare nu există în registrul implicit. Valoarea implicită - Adevărat.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
Această intrare determină timpul în milisecunde, după care sistemul de operare va expira intrările cache pe partea de server. O valoare de 0 dezactivează sesiune cache de pe partea de server, și interzice reconectarea. Dacă ServerCacheTime specificați o valoare mai mare decât cea implicită, Lsass.exe va consuma memorie suplimentară. Fiecare element cache sesiune necesită în mod obișnuit 2 - 4 KB de memorie. Această intrare nu există în registrul implicit.
versiunea aplicabilă. indicate în lista de aplicații în începutul acestui articol.
Calea în registru. Control \ SecurityProviders \ Schannel HKLM SYSTEM \ CurrentControlSet \
cache implicit server de timp. 10:00
Această subsecțiune controlează utilizarea SSL 2.0.
În mod implicit, computerele client pentru Windows 2.0 SSL dezactivat.
versiunea aplicabilă. Cererile sunt enumerate anterior în acest articol, cu excepția versiunea client de Windows.
Calea în registru. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocoale
Pentru a dezactiva protocolul SSL 2.0, creați de intrare activat în secțiunea corespunzătoare. Această intrare nu există în registrul implicit. După ce creați această intrare, modificați valoarea DWORD la 0. Pentru a activa protocolul, modificați valoarea DWORD la 1.
Tabelul subsectiunilor SSL 2.0
criptare Sistem: algoritmi de utilizare FIPS compatibile pentru criptare, hashing și semnare.
(Această setare de politică de grup opțiuni de securitate.)
Modificări ale acestui parametru determină dacă Schannel SSP acceptă protocolul TLS ca un client (sau server, dacă este cazul), și dacă se va utiliza numai următorii algoritmi:
criptare DES triplă pentru traficul TLS;
RSA algoritm de criptare publică cheie pentru schimbul de chei TLS și autentificarea;
SHA-1 algoritm de hashing pentru TLS.
Clientul și serverul trebuie să sprijine aceste algoritmi și TLS pentru a comunica prin intermediul aplicației canal securizat. De exemplu, în cazul în care această setare de politică, trebuie să configurați, de asemenea, Internet Explorer pentru a utiliza TLS (care este dezactivată în mod implicit) pentru a se conecta folosind HTTPS la server cu această opțiune.