Jump to content

SSL3 etc. deaktivieren klappt nicht vernünftig


Go to solution Solved by testperson,

Recommended Posts

Hi,

 

ich möchte gerne für alle Server alte und damit unsichere Protokolle deaktivieren und nur noch TLS 1.2 zulassen. Ich habe dazu in der Registry folgende Einstellungen für alle Server verteilt:

01.thumb.png.dbdb9c3b06dacf8d56bc30447e86d110.png

 

 

 

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

 

 

Darüber hinaus habe ich per GPO die Reihenfolge der SSL-Verschlüsselungssammlungen definiert, wie es unter ADMX-Help beschrieben ist.

 

Wenn ich nun mittels Nessus einen unserer DCS scanne, erhalte ich diese Meldung:

 

02.png.b162c769eb825972d4d180b1f7c25435.png

 

Ich kann nicht recht nachvollziehen, was genau bemängelt wird bzw. was noch zu konfigurieren ist, damit SSL3 etc. nicht mehr benutzt wird.

 

 

 

p.s

 

Diese Meldung erscheint auch

 

 

03.thumb.png.11c33ad5efc086fd2172194761f53fd5.png

 

 

Edited by todde_hb
Link to post
14 minutes ago, todde_hb said:
 

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

Auch "Enabled" auf 0?

 

Teilweise, je nach Applikation, reicht die Einstellung in Windows nicht sondern muss in der Applikation getätigt werden. Z.b. ein Apache Server oder sonstiges.

Link to post

Man kann den Kram aber exportieren und hinterher per GPP rausschicken. Immer noch schneller ;)

Und was gern vergessen wird ist TLS 1.2 für .net zu aktivieren. Das macht IISCrypto nämlich nicht.

Edited by NorbertFe
Link to post
vor 37 Minuten schrieb Dukel:

Die Tools kann man schlecht mit einem Config Management verteilen.

Dafür gibt es die IIS Crypto CLI und bspw. Batch. Das könnte so z.B. per Shutdown Script erledigt werden:

 

IF NOT EXIST C:\install\IISCrypto mkdir C:\install\IISCrypto
 
icacls C:\install\IISCrypto /inheritance:r /grant:r *S-1-5-32-544:(OI)(CI)F /grant:r *S-1-5-18:(OI)(CI)F /grant:r *S-1-5-32-545:(OI)(CI)R /remove:g *S-1-3-0 /T /C /Q
icacls C:\install\IISCrypto\* /C /T /RESET /Q
 
xcopy \\<PFAD>\<zu>\IISCryptoCli.exe C:\install\IISCrypto /D /Q /R /Y
C:\install\IISCrypto\IISCryptoCli.exe /template best
 
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SchUseStrongCrypto /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SystemDefaultTlsVersions /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1

 

Link to post
vor 6 Stunden schrieb todde_hb:

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

In Deinem Screenshot ist der "Client" Key markiert. Hast Du auch die Server-Keys passend konfiguriert?

Link to post
19 hours ago, testperson said:

BTW.: Nach den Anpassungen, ob Registry oder IIS Crypto, benötigt es einen Reboot.

Yup, das wars. Dachte eigentlich ich hätte den Reboot gemacht. 

13 hours ago, daabm said:

In Deinem Screenshot ist der "Client" Key markiert. Hast Du auch die Server-Keys passend konfiguriert?

Ja, selbstverständlich ;-) 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...