策略 CSP - 加密

AllowFipsAlgorithmPolicy

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/AllowFipsAlgorithmPolicy

允许或禁止联邦信息处理标准 (FIPS) 策略。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 允许。
0(默认值) 阻止。

组策略映射:

名称
名称 系统加密:使用符合 FIPS 的算法进行加密、哈希和签名
路径 Windows 设置 > 安全设置 > 本地策略 > 安全选项

配置EllipticCurveCryptography

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/ConfigureEllipticCurveCryptography

此策略设置确定用于 ECDHE 密码套件的 ECC 曲线的优先级顺序。

  • 如果启用此策略设置,ECC 曲线将按指定的顺序进行优先级。 (每行输入一个曲线名称)

  • 如果禁用或未配置此策略设置,则使用默认的 ECC 曲线顺序。

默认曲线顺序

curve25519 NistP256 NistP384

若要查看系统支持的所有曲线,请使用以下命令:

CertUtil.exe -DisplayEccCurve。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: ;)

组策略映射:

名称
名称 SSLCurveOrder
友好名称 ECC 曲线顺序
位置 “计算机配置”
路径 网络 > SSL 配置设置
注册表项名称 SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
ADMX 文件名 CipherSuiteOrder.admx

ConfigureSystemCryptographyForceStrongKeyProtection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/ConfigureSystemCryptographyForceStrongKeyProtection

系统加密:强制对计算机上存储的用户密钥进行强密钥保护。 最后写入获胜。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 2

允许的值:

旗帜 描述
8 应用容器访问了未受到强烈保护的中等密钥。 例如,仅供用户同意的密钥,或受密码或指纹保护的密钥。
2 (默认) 强制提供高度保护。
1 根据需要显示强键用户界面。

OverrideMinimumEnabledDTLSVersionClient

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledDTLSVersionClient

重写客户端角色的最低启用 TLS 版本。 最后写入获胜。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

OverrideMinimumEnabledDTLSVersionServer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledDTLSVersionServer

替代服务器角色的最低启用 TLS 版本。 最后写入获胜。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

OverrideMinimumEnabledTLSVersionClient

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledTLSVersionClient

重写客户端角色的最低启用 TLS 版本。 最后写入获胜。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

OverrideMinimumEnabledTLSVersionServer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/OverrideMinimumEnabledTLSVersionServer

替代服务器角色的最低启用 TLS 版本。 最后写入获胜。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

TLSCipherSuites

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Cryptography/TLSCipherSuites

此策略设置确定安全套接字层 (SSL) 使用的密码套件。

  • 如果启用此策略设置,SSL 密码套件将按指定的顺序进行优先级排序。

  • 如果禁用或未配置此策略设置,则使用默认密码套件顺序。

所有密码套件的链接: https://go.microsoft.com/fwlink/?LinkId=517265

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: ;)

组策略映射:

名称
名称 SSLCipherSuiteOrder
友好名称 SSL 密码套件顺序
位置 “计算机配置”
路径 网络 > SSL 配置设置
注册表项名称 SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
ADMX 文件名 CipherSuiteOrder.admx

策略配置服务提供程序