SSL3 etc. deaktivieren klappt nicht vernünftig

[todde_hb 4]

Hi,

 

ich möchte gerne für alle Server alte und damit unsichere Protokolle deaktivieren und nur noch TLS 1.2 zulassen. Ich habe dazu in der Registry folgende Einstellungen für alle Server verteilt:

 

 

 

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

 

 

Darüber hinaus habe ich per GPO die Reihenfolge der SSL-Verschlüsselungssammlungen definiert, wie es unter ADMX-Help beschrieben ist.

 

Wenn ich nun mittels Nessus einen unserer DCS scanne, erhalte ich diese Meldung:

 

 

Ich kann nicht recht nachvollziehen, was genau bemängelt wird bzw. was noch zu konfigurieren ist, damit SSL3 etc. nicht mehr benutzt wird.

 

 

 

p.s

 

Diese Meldung erscheint auch

 

 

 

 

bearbeitet 3. März 2021 von todde_hb

[testperson 1.677]

Hi,

 

in ganz kurz und knapp: Nartac Software - Download

 

Gruß

Jan

[tesso 375]

vor 6 Minuten schrieb testperson:

Hi,

 

in ganz kurz und knapp: Nartac Software - Download

 

Gruß

Jan

Die Software wollte ich auch soeben vorschlagen.

[testperson 1.677]

BTW.: Nach den Anpassungen, ob Registry oder IIS Crypto, benötigt es einen Reboot.

[Dukel 454]

14 minutes ago, todde_hb said:

 

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

Auch "Enabled" auf 0?

 

Teilweise, je nach Applikation, reicht die Einstellung in Windows nicht sondern muss in der Applikation getätigt werden. Z.b. ein Apache Server oder sonstiges.

[NorbertFe 2.034]

Deswegen einfach das genannte Tool nehmen und schon wird alles gut. ;) Für Applikationen die sich daran nicht halten, muss man das natürlich gesondert konfigurieren.

[Dukel 454]

Die Tools kann man schlecht mit einem Config Management verteilen.

[NorbertFe 2.034]

Man kann den Kram aber exportieren und hinterher per GPP rausschicken. Immer noch schneller ;)

Und was gern vergessen wird ist TLS 1.2 für .net zu aktivieren. Das macht IISCrypto nämlich nicht.

bearbeitet 3. März 2021 von NorbertFe

[testperson 1.677]

vor 37 Minuten schrieb Dukel:

Die Tools kann man schlecht mit einem Config Management verteilen.

Dafür gibt es die IIS Crypto CLI und bspw. Batch. Das könnte so z.B. per Shutdown Script erledigt werden:

 

IF NOT EXIST C:\install\IISCrypto mkdir C:\install\IISCrypto
 
icacls C:\install\IISCrypto /inheritance:r /grant:r *S-1-5-32-544:(OI)(CI)F /grant:r *S-1-5-18:(OI)(CI)F /grant:r *S-1-5-32-545:(OI)(CI)R /remove:g *S-1-3-0 /T /C /Q
icacls C:\install\IISCrypto\* /C /T /RESET /Q
 
xcopy \\<PFAD>\<zu>\IISCryptoCli.exe C:\install\IISCrypto /D /Q /R /Y
C:\install\IISCrypto\IISCryptoCli.exe /template best
 
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SchUseStrongCrypto /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SystemDefaultTlsVersions /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1

 

[Dukel 454]

Oder man verteilt gleich die Registryeinträge.

IISCrypto auf einer Maschine ausführen und danach die Registry Einträge verteilen.

[testperson 1.677]

Viele Wege führen nach Rom zu TLS 1.2. Selbst TLS 1.3 scheint - Windows-seitig - so langsam in den Startlöchern zu stehen. Die "letzten" Insider Builds machen es zumindest per Default.

[daabm 1.354]

vor 6 Stunden schrieb todde_hb:

Für alles ausser 1.2 habe ich "DisabledbyDefault" auf 1 gesetzt

In Deinem Screenshot ist der "Client" Key markiert. Hast Du auch die Server-Keys passend konfiguriert?

[todde_hb 4]

19 hours ago, testperson said:

BTW.: Nach den Anpassungen, ob Registry oder IIS Crypto, benötigt es einen Reboot.

Yup, das wars. Dachte eigentlich ich hätte den Reboot gemacht. 

13 hours ago, daabm said:

In Deinem Screenshot ist der "Client" Key markiert. Hast Du auch die Server-Keys passend konfiguriert?

Ja, selbstverständlich