在Windows 10 Schannel中真正禁用会话票
在Windows 10 Schannel中真正禁用会话票
提问于 2019-02-04 05:35:57
在windows 7中,通过禁用schannel缓存禁用了会话票证,例如:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"EventLogging"=dword:00000004
"MaximumCacheSize"=dword:00000000
"ServerCacheTime"=dword:00000000其他微软消息来源对Windows 10表示如下: Schannel EnableSessionTicket,值2,禁用系统中的会话票证TLS“优化”。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"EnableSessionTicket"=dword:00000002“会话票证TLS优化”和“一般会话票”之间有什么区别吗?或者是使用优化的TLS会话票,比如rtt0或其他形式的优化?
从逻辑上讲,我假设禁用TLS会话票需要以下条目
"EnableSessionTicket"=dword:00000000但是,这个消息来源声称设置dword:00000002时,系统将恢复处理TLS会话,就像以前Windows操作系统中协商的会话一样。
若要禁用会话票证,这是否意味着用户必须启用以下3?
"EnableSessionTicket"=dword:00000002
"MaximumCacheSize"=dword:00000000
"ServerCacheTime"=dword:00000000最后,"EnableSessionTicket"=dword:00000000和dword:000000001是做什么的?
谢谢。
回答 1
Security用户
发布于 2019-02-06 07:32:49
如果可能的话,我建议您使用powershell中的,而不是全局禁用。
这会影响指定的服务帐户,从而阻止它解密现有的TLS会话票,并且不会影响任何其他内容。这种方法可以更容易地保护我们知道的特定服务可能表示漏洞,同时又不阻止其他服务使用该功能。
否则,您可以设置
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\MaximumCacheSize to 0 和
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ServerCacheTime to 0 而且,通过阻止任何缓存,票务功能将无法工作。这足以阻止它发挥作用。这样做的缺点可能是在大量使用TLS的情况下延迟。
请注意,设置"EnableSessionTicket"=dword:00000002不会禁用票务,它将禁用会话票证TLS优化。从逻辑上讲,如果希望禁用它,可以将其设置为"0",但正如我所提到的,如果没有缓存,则没有必要。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/202862
复制相关文章
相似问题
腾讯云开发者
