Jump to content

SSL3 etc. deaktivieren klappt nicht vernünftig


Direkt zur Lösung Gelöst von testperson,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich möchte gerne für alle Server alte und damit unsichere Protokolle deaktivieren und nur noch TLS 1.2 zulassen. Ich habe dazu in der Registry folgende Einstellungen für alle Server verteilt:

01.thumb.png.dbdb9c3b06dacf8d56bc30447e86d110.png

 

 

 

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

 

 

Darüber hinaus habe ich per GPO die Reihenfolge der SSL-Verschlüsselungssammlungen definiert, wie es unter ADMX-Help beschrieben ist.

 

Wenn ich nun mittels Nessus einen unserer DCS scanne, erhalte ich diese Meldung:

 

02.png.b162c769eb825972d4d180b1f7c25435.png

 

Ich kann nicht recht nachvollziehen, was genau bemängelt wird bzw. was noch zu konfigurieren ist, damit SSL3 etc. nicht mehr benutzt wird.

 

 

 

p.s

 

Diese Meldung erscheint auch

 

 

03.thumb.png.11c33ad5efc086fd2172194761f53fd5.png

 

 

bearbeitet von todde_hb
Link zu diesem Kommentar
vor 37 Minuten schrieb Dukel:

Die Tools kann man schlecht mit einem Config Management verteilen.

Dafür gibt es die IIS Crypto CLI und bspw. Batch. Das könnte so z.B. per Shutdown Script erledigt werden:

 

IF NOT EXIST C:\install\IISCrypto mkdir C:\install\IISCrypto
 
icacls C:\install\IISCrypto /inheritance:r /grant:r *S-1-5-32-544:(OI)(CI)F /grant:r *S-1-5-18:(OI)(CI)F /grant:r *S-1-5-32-545:(OI)(CI)R /remove:g *S-1-3-0 /T /C /Q
icacls C:\install\IISCrypto\* /C /T /RESET /Q
 
xcopy \\<PFAD>\<zu>\IISCryptoCli.exe C:\install\IISCrypto /D /Q /R /Y
C:\install\IISCrypto\IISCryptoCli.exe /template best
 
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SchUseStrongCrypto /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SystemDefaultTlsVersions /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...