Ninu 10 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Hallo zusammen, ich habe mal wieder eine doofe Frage: wir machen regelmäßige Qualys-Scans über unsere Server. Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen, z.B. das diese Server über SSL 3.0 und SSL 2.0 für Poodle angreifbar sind. Was macht Klein-Doofi im ersten Schreck? Richtig! SSL 2.0 und 3.0 in der Registry deaktivieren (Client und Server), gibt ja noch SSL 1.0 und TLS. So zumindest der Plan. b***d nur, dass dann die WSUS-Server nicht mehr erreichbar sind. RDP geht, WSUS-Konsole und Updates gehen nicht mehr. Google bemüht, nichts sinnvolles gefunden. Wahrscheinlich zu b***d zum suchen gewesen. Nur wie bekomme ich jetzt meine WSUS-Server Poodle-fest? Wir nutzen den neuesten WSUS mit allen Patchen auf BS- und WSUS-Ebene. Als Server-BS läuft Windows 2016 mit dem dazugehörigen IIS. Hat jemand einen Tipp für mich? Gruß Ninu Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Prüfe mal den Artikel: https://support.microsoft.com/de-de/help/2959977/windows-update-client-does-not-scan-against-wsus-3-0-sp2-if-https-is-c Wie wurde denn SSL 2.0 und 3.0 deaktiviert? Ist auf den Clients der TLS 1.2-Support richtig konfiguriert. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Hi, lade dir mal IIS Crypto von Nartac runter, wähle "Best Practice" und "Apply" und starte den Server mal durch. Dann hast du zumindest eine sinnvolle SSL / TLS Konfiguration. Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 wir machen regelmäßige Qualys-Scans über unsere Server. Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :) Bye Norbert Zitieren Link zu diesem Kommentar
Ninu 10 Geschrieben 24. August 2017 Autor Melden Teilen Geschrieben 24. August 2017 Hallo zusammen, erst einmal vielen Dank, für die Antworten. IISCrypto hatte ich benutzt. Den Artikel lese ich mir gleich durch. Aber ich muss mich korrigieren. Es ist nicht SSL 2.0, das kann ich deaktivieren, es ist das TLS 1.0 was mir in die Suppe spuckt. Habe ich gerade eben erst bemerkt. Man soll halt nicht bei der Fehlersuche schlampen und 2 Sachen gleichzeitig wieder auf "allow" stellen. Zur weiteren Ergänzung: Die Clients sind auf Windows 7 Basis. Können die TLS 1.1 bzw. 1.2? Gruß Ninu Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :)ByeNorbert Nein, zumindest nicht direkt. Aber wir haben auch Maschinen, die nicht bei uns im Haus stehe und damit potentiell gestohlen und missbraucht werden können. Natürlich sind die gesondert noch einmal in einer gesicherten Umgebung. Aber sicher ist sicher. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Trotzdem erschließt sich mir nicht, wie du dann den WSUS getestet hast. Oder ist einfach an der Firewall dann für die Remote Adressen Port 8531 offen? Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Qualis gibt es nicht nur als Webseite mit dem SSL Check sondern auch als Programm / Appliance. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Hmm muß irgendwie an mir vorbeigegangen sein. Hast du nen Link parat? :) Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 https://www.qualys.com/solutions/ Auf der Webseite von Qualys. Zitieren Link zu diesem Kommentar
Ninu 10 Geschrieben 24. August 2017 Autor Melden Teilen Geschrieben 24. August 2017 Exakt. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 24. August 2017 Melden Teilen Geschrieben 24. August 2017 Danke :) Zitieren Link zu diesem Kommentar
Ninu 10 Geschrieben 28. August 2017 Autor Melden Teilen Geschrieben 28. August 2017 Moin, bin leider krank. geworden. Nach dem das mit "Warum Qualys und wie" geklärt ist: Hat jemand einen Tipp für mich wie ich den WSUS und TLS 1.0 hinbekomme? Gruß Ninu Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 28. August 2017 Melden Teilen Geschrieben 28. August 2017 Also jeder moderne Windows Client spricht auch TLS 1.2 mit dem WSUS. Zitieren Link zu diesem Kommentar
Ninu 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 Ok. Damit ist klar, woran es liegt... TLS 1.2 ist erst ab Windows 8.1 standardmäßig drin :-) Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 (bearbeitet) Genau ;) Windows 7 sollte man das aber beibringen können. bearbeitet 29. August 2017 von NorbertFe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.