Zum Inhalt wechseln


Foto

WSUS ohne SSL

WSUS IIS

  • Bitte melde dich an um zu Antworten
14 Antworten in diesem Thema

#1 Ninu

Ninu

    Newbie

  • 60 Beiträge

 

Geschrieben 24. August 2017 - 08:09

Hallo zusammen,

 

ich habe mal wieder eine doofe Frage:

 

wir machen regelmäßige Qualys-Scans über unsere Server.

Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen, z.B. das diese Server über SSL 3.0 und SSL 2.0 für Poodle angreifbar sind.

Was macht Klein-Doofi im ersten Schreck?

Richtig! SSL 2.0 und 3.0 in der Registry deaktivieren (Client und Server), gibt ja noch SSL 1.0 und TLS.

So zumindest der Plan.

 

b***d nur, dass dann die WSUS-Server nicht mehr erreichbar sind. RDP geht, WSUS-Konsole und Updates gehen nicht mehr.

 

Google bemüht, nichts sinnvolles gefunden. Wahrscheinlich zu b***d zum suchen gewesen.

 

Nur wie bekomme ich jetzt meine WSUS-Server Poodle-fest?

 

Wir nutzen den neuesten WSUS mit allen Patchen auf BS- und WSUS-Ebene.

Als Server-BS läuft Windows 2016 mit dem dazugehörigen IIS.

 

Hat jemand einen Tipp für mich?

 

Gruß

 

Ninu



#2 zahni

zahni

    Expert Member

  • 16.372 Beiträge

 

Geschrieben 24. August 2017 - 08:12

Prüfe mal den Artikel:

https://support.micr...2-if-https-is-c

 

Wie wurde denn SSL 2.0 und 3.0 deaktiviert? Ist auf den Clients der TLS 1.2-Support richtig konfiguriert.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 24. August 2017 - 08:17

Hi,

 

lade dir mal IIS Crypto von Nartac runter, wähle "Best Practice" und "Apply" und starte den Server mal durch. Dann hast du zumindest eine sinnvolle SSL / TLS Konfiguration.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#4 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 24. August 2017 - 08:50

wir machen regelmäßige Qualys-Scans über unsere Server.

Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen


Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#5 Ninu

Ninu

    Newbie

  • 60 Beiträge

 

Geschrieben 24. August 2017 - 09:16

Hallo zusammen,

 

erst einmal vielen Dank, für die Antworten.

 

IISCrypto hatte ich benutzt.

Den Artikel lese ich mir gleich durch.

 

Aber ich muss mich korrigieren. Es ist nicht SSL 2.0, das kann ich deaktivieren, es ist das TLS 1.0 was mir in die Suppe spuckt.

Habe ich gerade eben erst bemerkt.

Man soll halt nicht bei der Fehlersuche schlampen und 2 Sachen gleichzeitig wieder auf "allow" stellen.

 

Zur weiteren Ergänzung: Die Clients sind auf Windows 7 Basis.

Können die TLS 1.1 bzw. 1.2?

 

Gruß

 

Ninu


Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :)

Bye
Norbert

 

Nein, zumindest nicht direkt.

Aber wir haben auch Maschinen, die nicht bei uns im Haus stehe und damit potentiell gestohlen und missbraucht werden können.

Natürlich sind die gesondert noch einmal in einer gesicherten Umgebung. Aber sicher ist sicher.



#6 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 24. August 2017 - 09:24

Trotzdem erschließt sich mir nicht, wie du dann den WSUS getestet hast. Oder ist einfach an der Firewall dann für die Remote Adressen Port 8531 offen?

Make something i***-proof and they will build a better i***.


#7 Dukel

Dukel

    Board Veteran

  • 9.241 Beiträge

 

Geschrieben 24. August 2017 - 09:26

Qualis gibt es nicht nur als Webseite mit dem SSL Check sondern auch als Programm / Appliance.


Stop making stupid people famous.


#8 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 24. August 2017 - 10:02

Hmm muß irgendwie an mir vorbeigegangen sein. Hast du nen Link parat? :)

Make something i***-proof and they will build a better i***.


#9 Dukel

Dukel

    Board Veteran

  • 9.241 Beiträge

 

Geschrieben 24. August 2017 - 10:23

https://www.qualys.com/solutions/

Auf der Webseite von Qualys.


Stop making stupid people famous.


#10 Ninu

Ninu

    Newbie

  • 60 Beiträge

 

Geschrieben 24. August 2017 - 10:35

Exakt.



#11 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 24. August 2017 - 10:45

Danke :)

Make something i***-proof and they will build a better i***.


#12 Ninu

Ninu

    Newbie

  • 60 Beiträge

 

Geschrieben 28. August 2017 - 13:20

Moin,

 

bin leider krank. geworden.

Nach dem das mit "Warum Qualys und wie" geklärt ist:

 

Hat jemand einen Tipp für mich wie ich den WSUS und TLS 1.0 hinbekomme?

 

 

Gruß

 

Ninu



#13 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 28. August 2017 - 14:06

Also jeder moderne Windows Client spricht auch TLS 1.2 mit dem WSUS.

Make something i***-proof and they will build a better i***.


#14 Ninu

Ninu

    Newbie

  • 60 Beiträge

 

Geschrieben 29. August 2017 - 11:59

Ok. Damit ist klar, woran es liegt...

TLS 1.2 ist erst ab Windows 8.1 standardmäßig drin :-)



#15 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 29. August 2017 - 12:09

Genau ;)
Windows 7 sollte man das aber beibringen können.

Bearbeitet von NorbertFe, 29. August 2017 - 12:21.

Make something i***-proof and they will build a better i***.




Auch mit einem oder mehreren der folgenden Tags versehen: WSUS, IIS