策略 CSP - 加密
AllowFipsAlgorithmPolicy
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/AllowFipsAlgorithmPolicy
允许或禁止联邦信息处理标准 (FIPS) 策略。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 描述 |
|---|---|
| 1 | 允许。 |
| 0(默认值) | 阻止。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | 系统加密:使用符合 FIPS 的算法进行加密、哈希和签名 |
| 路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
配置EllipticCurveCryptography
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/ConfigureEllipticCurveCryptography
此策略设置确定用于 ECDHE 密码套件的 ECC 曲线的优先级顺序。
如果启用此策略设置,ECC 曲线将按指定的顺序进行优先级。 (每行输入一个曲线名称)
如果禁用或未配置此策略设置,则使用默认的 ECC 曲线顺序。
默认曲线顺序
curve25519 NistP256 NistP384
若要查看系统支持的所有曲线,请使用以下命令:
CertUtil.exe -DisplayEccCurve。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: ;) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SSLCurveOrder |
| 友好名称 | ECC 曲线顺序 |
| 位置 | “计算机配置” |
| 路径 | 网络 > SSL 配置设置 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 |
| ADMX 文件名 | CipherSuiteOrder.admx |
ConfigureSystemCryptographyForceStrongKeyProtection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/ConfigureSystemCryptographyForceStrongKeyProtection
系统加密:强制对计算机上存储的用户密钥进行强密钥保护。 最后写入获胜。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 2 |
允许的值:
| 旗帜 | 描述 |
|---|---|
| 8 | 应用容器访问了未受到强烈保护的中等密钥。 例如,仅供用户同意的密钥,或受密码或指纹保护的密钥。 |
| 2 (默认) | 强制提供高度保护。 |
| 1 | 根据需要显示强键用户界面。 |
OverrideMinimumEnabledDTLSVersionClient
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledDTLSVersionClient
重写客户端角色的最低启用 TLS 版本。 最后写入获胜。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
OverrideMinimumEnabledDTLSVersionServer
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledDTLSVersionServer
替代服务器角色的最低启用 TLS 版本。 最后写入获胜。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
OverrideMinimumEnabledTLSVersionClient
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledTLSVersionClient
重写客户端角色的最低启用 TLS 版本。 最后写入获胜。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
OverrideMinimumEnabledTLSVersionServer
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledTLSVersionServer
替代服务器角色的最低启用 TLS 版本。 最后写入获胜。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
TLSCipherSuites
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Cryptography/TLSCipherSuites
此策略设置确定安全套接字层 (SSL) 使用的密码套件。
如果启用此策略设置,SSL 密码套件将按指定的顺序进行优先级排序。
如果禁用或未配置此策略设置,则使用默认密码套件顺序。
所有密码套件的链接: https://go.microsoft.com/fwlink/?LinkId=517265
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: ;) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SSLCipherSuiteOrder |
| 友好名称 | SSL 密码套件顺序 |
| 位置 | “计算机配置” |
| 路径 | 网络 > SSL 配置设置 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 |
| ADMX 文件名 | CipherSuiteOrder.admx |