Microsoft 安全公告 3174644-Diffie-Hellman 密钥交换的更新支持

原文网址：https://technet.microsoft.com/library/security/3174644

执行摘要

Microsoft 将提供更新的支持，使管理员能够为 TLS 服务器配置较长的 Diffie-Hellman ephemeral (DHE) 密钥共享。更新的支持允许管理员将 DH 模块的大小从当前默认的 1024 增加到 2048、3072 或 4096。

注意：所有版本的 Windows 10 均支持新的 DH 模块设置并使用 2048 作为 DH 模块的默认设置。

公告常见问题解答



此公告的适用范围有多大？ 

此公告的目的在于通知客户，Microsoft 将提供更新支持以使管理员能够为 TLS 服务器配置较长的 Diffie
4000
-Hellman ephemeral (DHE) 密钥共享。

DHE 密钥共享的更新支持提供了哪些内容？ 

DHE 密钥交换实施中的模块大小当前为 1024 位。此更新支持使管理员能够将模块大小配置为 2048、3072 或 4096。

这是否是一个需要 Microsoft 发布安全更新程序的安全漏洞？ 

否。但是，通过使管理员能够配置较长的 DHE 密钥共享，可增强他们所管理的 TLS 服务器的安全性。

为何 Microsoft 要使管理员能够为 TLS 服务器配置较长的 DHE 密钥共享？ 
通过使管理员能够为 TLS 服务器配置较长的 DHE 密钥共享，有助于将对应于 2048、3072 和 4096 的组 14、15 和 16 (RFC3526) 实施为 TLS 服务器上的默认最低安全标准。

建议措施



管理员可以通过添加注册表项值来更改模块的大小，步骤如下。如果注册表项值不存在，则模块默认值仍为 1024 位。以下示例将模块大小设置为 2048 位。有效的注册表项值是十进制的：1024、2048、3072 和 4096。

要更改模块的默认大小：

警告 如果你不正确地使用注册表编辑器，则可能导致严重问题（你或许需要重新安装操作系统）。Microsoft 不保证您可以解决因错误使用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。
打开注册表编辑器。
访问以下注册表位置：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

将以下 DWORD 值更新为：

"ServerMinKeyBitLength"=dword:00000800

其他建议措施

保护您的 PC

我们仍鼓励客户按照“保护您的计算机”指导启用防火墙、获取软件更新并安装防病毒软件。有关详细信息，请访问 Microsoft 安全中心。

及时更新 Microsoft 软件

运行 Microsoft 软件的用户应该应用最新的 Microsoft 安全更新程序，以帮助确保其计算机尽可能受到最好的保护。如果不确定软件是否为最新版本，请访问 Microsoft 更新，扫描你的计算机以获取可用的更新程序，并安装向你提供的任何高优先级更新程序。如果自动更新已启用并配置为向 Microsoft
产品提供更新，则更新将在发布后传输给你，但你应验证它们是否已安装。