Jump to content
Sign in to follow this  
Ninu

WSUS ohne SSL

Recommended Posts

Hallo zusammen,

 

ich habe mal wieder eine doofe Frage:

 

wir machen regelmäßige Qualys-Scans über unsere Server.

Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen, z.B. das diese Server über SSL 3.0 und SSL 2.0 für Poodle angreifbar sind.

Was macht Klein-Doofi im ersten Schreck?

Richtig! SSL 2.0 und 3.0 in der Registry deaktivieren (Client und Server), gibt ja noch SSL 1.0 und TLS.

So zumindest der Plan.

 

b***d nur, dass dann die WSUS-Server nicht mehr erreichbar sind. RDP geht, WSUS-Konsole und Updates gehen nicht mehr.

 

Google bemüht, nichts sinnvolles gefunden. Wahrscheinlich zu b***d zum suchen gewesen.

 

Nur wie bekomme ich jetzt meine WSUS-Server Poodle-fest?

 

Wir nutzen den neuesten WSUS mit allen Patchen auf BS- und WSUS-Ebene.

Als Server-BS läuft Windows 2016 mit dem dazugehörigen IIS.

 

Hat jemand einen Tipp für mich?

 

Gruß

 

Ninu

Share this post


Link to post

Hi,

 

lade dir mal IIS Crypto von Nartac runter, wähle "Best Practice" und "Apply" und starte den Server mal durch. Dann hast du zumindest eine sinnvolle SSL / TLS Konfiguration.

 

Gruß

Jan

Share this post


Link to post

wir machen regelmäßige Qualys-Scans über unsere Server.

 

Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen

Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :)

 

Bye

Norbert

Share this post


Link to post

Hallo zusammen,

 

erst einmal vielen Dank, für die Antworten.

 

IISCrypto hatte ich benutzt.

Den Artikel lese ich mir gleich durch.

 

Aber ich muss mich korrigieren. Es ist nicht SSL 2.0, das kann ich deaktivieren, es ist das TLS 1.0 was mir in die Suppe spuckt.

Habe ich gerade eben erst bemerkt.

Man soll halt nicht bei der Fehlersuche schlampen und 2 Sachen gleichzeitig wieder auf "allow" stellen.

 

Zur weiteren Ergänzung: Die Clients sind auf Windows 7 Basis.

Können die TLS 1.1 bzw. 1.2?

 

Gruß

 

Ninu


Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :)

Bye
Norbert

 

Nein, zumindest nicht direkt.

Aber wir haben auch Maschinen, die nicht bei uns im Haus stehe und damit potentiell gestohlen und missbraucht werden können.

Natürlich sind die gesondert noch einmal in einer gesicherten Umgebung. Aber sicher ist sicher.

Share this post


Link to post

Trotzdem erschließt sich mir nicht, wie du dann den WSUS getestet hast. Oder ist einfach an der Firewall dann für die Remote Adressen Port 8531 offen?

Share this post


Link to post

Moin,

 

bin leider krank. geworden.

Nach dem das mit "Warum Qualys und wie" geklärt ist:

 

Hat jemand einen Tipp für mich wie ich den WSUS und TLS 1.0 hinbekomme?

 

 

Gruß

 

Ninu

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...