Unklarheit bezüglich SchUseStrongCrypto für .NET 3.5 bzw. 4.0

[hacori 2]

Hallo zusammen

 

Aufgrund eines HealthChecker Reports zu einem Exchange Server 2016 korrigierte ich die Protokoll-Einstellungen betreffend TLS 1.0 und TLS 1.2 in der Registry, Diese waren für Server / Client abweichend gesetzt. Jetzt sind alle Protokolle mit Ausnahme von 1.3 aktiviert.

Zusätzlich setzte ich die Werte von SystemDefaultTlsVersions für .NET 3.5 und .NET 4.0 auf 1.

Ausgeführt habe ich die Anpassungen gemäss den Informationen auf dieser Seite.

 

Auf den übrigen Server der Domäne ist TLS 1.2 aktiviert seit 1.0 und 1.2 von Microsoft standardmässig deaktiviert worden waren. Auf diesen Servern ist SystemDefaultTlsVersions für .NET nun ebenfalls auf 1 gesetzt.

 

Unsicher bin ich, ob ich gemäss HealthChecker Empfehlung zusätzlich den Wert von SchUseStrongCrypto (betreffend .NET) auf 1 setzen soll/kann. Daher ein paar Fragen zur Klärung.

• Können, nachdem die Server neugestartet sind, Probleme wegen selbstsignierten Zertifikaten mit SHA1 auftreten?
• Es heisst, dass SchUseStrongCrypto nur für Client-Verbindungen genutzt wird. Kann es trotzdem - namentlich beim Terminalserver - passieren, dass gewisse Verbindungen/Programme nicht mehr funktionieren?
• Gibt es eine Möglichkeit, allfällige Auswirkungen im voraus zu eruieren?
• Ist es besser, die Einstellung auf allen Servern gleichzeitig zu ändern oder eher gestaffelt pro Server?
• Ist es sinnvoll, für PCs/Notebooks die Einstellung via GPO-Richtlinie zu forcieren oder gibt es damit grössere Probleme?

 

Danke im voraus für eure Tipps/Erfahrungen.

[NorbertFe 1.805]

vor 3 Stunden schrieb hacori:

Unsicher bin ich, ob ich gemäss HealthChecker Empfehlung zusätzlich den Wert von SchUseStrongCrypto (betreffend .NET) auf 1 setzen soll/kann.

Ja.

vor 3 Stunden schrieb hacori:

Können, nachdem die Server neugestartet sind, Probleme wegen selbstsignierten Zertifikaten mit SHA1 auftreten?

Nein.

 

vor 3 Stunden schrieb hacori:

Es heisst, dass SchUseStrongCrypto nur für Client-Verbindungen genutzt wird. Kann es trotzdem - namentlich beim Terminalserver - passieren, dass gewisse Verbindungen/Programme nicht mehr funktionieren?

Eher nein. Mir jedenfalls bisher nicht begegnet. Und ich setze diese Werte seit mehreren Jahren.

 

vor 3 Stunden schrieb hacori:

Ist es besser, die Einstellung auf allen Servern gleichzeitig zu ändern oder eher gestaffelt pro Server?

Egal. Wenn du unsicher bist nutze pilotierung.

 

vor 3 Stunden schrieb hacori:

Ist es sinnvoll, für PCs/Notebooks die Einstellung via GPO-Richtlinie zu forcieren oder gibt es damit grössere Probleme?

Ja. Ist das ab Windows 10 irgendwas nicht sowieso der Standard?

 

bye

norbert

[hacori 2]

Ok, danke Norbert.

 

Dann werde ich den Eintrag mal schrittweise so setzen.

 

Am 24.2.2023 um 22:18 schrieb NorbertFe:

Ja. Ist das ab Windows 10 irgendwas nicht sowieso der Standard?

 

Ja, das müsste eigentlich so sein. Jedenfalls hatte ich mal eine entsprechende Ankündigung dazu gesehen.

Allerdings lässt sich dies via Registry nicht verifizieren, da offenbar kein Eintrag dafür erstellt wurde. Es sieht aus wie vorher, als die Einstellung standardmässig deaktiviert war.