ไม่มีชุดการเข้ารหัสบน Windows Server 2019

Aug 17 2020

ฉันใช้ลำดับงาน MEMCM เพื่อสร้างเซิร์ฟเวอร์ที่ใช้ Windows Server 2019 จนถึงตอนนี้ฉันสร้างเซิร์ฟเวอร์ 22 เครื่องด้วยระบบปฏิบัติการนี้ ในตอนท้ายของ OSD ใน 20 รายการฉันมีชุดการเข้ารหัสเพียง 10 ชุดเท่านั้น

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA

บนเซิร์ฟเวอร์สองเครื่องที่มีชุดการเข้ารหัสมากกว่าฉันมีชุดการเข้ารหัส 31 รายการต่อไปนี้

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
TLS_PSK_WITH_AES_256_GCM_SHA384
TLS_PSK_WITH_AES_128_GCM_SHA256
TLS_PSK_WITH_AES_256_CBC_SHA384
TLS_PSK_WITH_AES_128_CBC_SHA256
TLS_PSK_WITH_NULL_SHA384
TLS_PSK_WITH_NULL_SHA256

บนเซิร์ฟเวอร์ที่มีชุดการเข้ารหัสจำนวน จำกัด ฉันได้เพิ่มคีย์รีจิสทรีที่จำเป็นเพื่อเปิดใช้งาน TLS 1.2 ในHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2และทำการรีบูต แต่ก็ยังไม่มีอะไรเพิ่มเติม และบนเซิร์ฟเวอร์ที่มีชุดการเข้ารหัส 31 ชุดฉันไม่รู้ว่ามีการเปลี่ยนแปลงอะไรจึงพร้อมใช้งาน ฉันยังพยายามใช้Enable-TlsCipherSuite -Name XXXโดยไม่ประสบความสำเร็จ ในที่สุดเซิร์ฟเวอร์จะได้รับการอัปเดตด้วยการอัปเดตในเดือนสิงหาคม 2020

มีความคิดว่าเหตุใดจึงมีรหัสหายไปและฉันจะเพิ่มได้อย่างไร

คำตอบ

1 GregAskew Aug 17 2020 at 18:20

TLS 1.2 ถูกเปิดใช้งานโดยค่าเริ่มต้น

คีย์รีจิสทรีสำหรับการเข้ารหัสคือ:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/demystifying-schannel/ba-p/259233

1 Tuttu Aug 17 2020 at 20:27

เหตุผลโง่ ๆ มี GPO เก่าที่ จำกัด รายการการเข้ารหัสไว้ที่ 10 รหัสนั้น rsopไม่ได้แสดงอะไรเลยนอกจากgpresult /hแสดงให้เห็นว่าฉันต้องการอะไร :)