Jump to content

Unklarheit bezüglich SchUseStrongCrypto für .NET 3.5 bzw. 4.0


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Aufgrund eines HealthChecker Reports zu einem Exchange Server 2016 korrigierte ich die Protokoll-Einstellungen betreffend TLS 1.0 und TLS 1.2 in der Registry, Diese waren für Server / Client abweichend gesetzt. Jetzt sind alle Protokolle mit Ausnahme von 1.3 aktiviert.

Zusätzlich setzte ich die Werte von SystemDefaultTlsVersions für .NET 3.5 und .NET 4.0 auf 1.

Ausgeführt habe ich die Anpassungen gemäss den Informationen auf dieser Seite.

 

Auf den übrigen Server der Domäne ist TLS 1.2 aktiviert seit 1.0 und 1.2 von Microsoft standardmässig deaktiviert worden waren. Auf diesen Servern ist SystemDefaultTlsVersions für .NET nun ebenfalls auf 1 gesetzt.

 

Unsicher bin ich, ob ich gemäss HealthChecker Empfehlung zusätzlich den Wert von SchUseStrongCrypto (betreffend .NET) auf 1 setzen soll/kann. Daher ein paar Fragen zur Klärung.

  • Können, nachdem die Server neugestartet sind, Probleme wegen selbstsignierten Zertifikaten mit SHA1 auftreten?
  • Es heisst, dass SchUseStrongCrypto nur für Client-Verbindungen genutzt wird. Kann es trotzdem - namentlich beim Terminalserver - passieren, dass gewisse Verbindungen/Programme nicht mehr funktionieren?
  • Gibt es eine Möglichkeit, allfällige Auswirkungen im voraus zu eruieren?
  • Ist es besser, die Einstellung auf allen Servern gleichzeitig zu ändern oder eher gestaffelt pro Server?
  • Ist es sinnvoll, für PCs/Notebooks die Einstellung via GPO-Richtlinie zu forcieren oder gibt es damit grössere Probleme?

 

Danke im voraus für eure Tipps/Erfahrungen.

Link zu diesem Kommentar
  • Beste Lösung
vor 3 Stunden schrieb hacori:

Unsicher bin ich, ob ich gemäss HealthChecker Empfehlung zusätzlich den Wert von SchUseStrongCrypto (betreffend .NET) auf 1 setzen soll/kann.

Ja.

vor 3 Stunden schrieb hacori:

Können, nachdem die Server neugestartet sind, Probleme wegen selbstsignierten Zertifikaten mit SHA1 auftreten?

Nein.

 

vor 3 Stunden schrieb hacori:

Es heisst, dass SchUseStrongCrypto nur für Client-Verbindungen genutzt wird. Kann es trotzdem - namentlich beim Terminalserver - passieren, dass gewisse Verbindungen/Programme nicht mehr funktionieren?

Eher nein. Mir jedenfalls bisher nicht begegnet. Und ich setze diese Werte seit mehreren Jahren.

 

vor 3 Stunden schrieb hacori:

Ist es besser, die Einstellung auf allen Servern gleichzeitig zu ändern oder eher gestaffelt pro Server?

Egal. Wenn du unsicher bist nutze pilotierung.

 

vor 3 Stunden schrieb hacori:

Ist es sinnvoll, für PCs/Notebooks die Einstellung via GPO-Richtlinie zu forcieren oder gibt es damit grössere Probleme?

Ja. Ist das ab Windows 10 irgendwas nicht sowieso der Standard?

 

bye

norbert

Link zu diesem Kommentar

Ok, danke Norbert.

 

Dann werde ich den Eintrag mal schrittweise so setzen.

 

Am 24.2.2023 um 22:18 schrieb NorbertFe:

Ja. Ist das ab Windows 10 irgendwas nicht sowieso der Standard?

 

Ja, das müsste eigentlich so sein. Jedenfalls hatte ich mal eine entsprechende Ankündigung dazu gesehen.

Allerdings lässt sich dies via Registry nicht verifizieren, da offenbar kein Eintrag dafür erstellt wurde. Es sieht aus wie vorher, als die Einstellung standardmässig deaktiviert war.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...