3
Erfahrungen Domänenweit TLS aktivieren
Hallo,
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben. Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.
Um dies zu aktivieren wären folgende keys notwendig.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
Ich würde mir die entsprechenden Policys raussuchen und TLS 1.2 aktivieren, schadet ja nichts oder doch?
Hat jemand Erfahrung mit dem Thema?
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben. Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.
Um dies zu aktivieren wären folgende keys notwendig.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
Ich würde mir die entsprechenden Policys raussuchen und TLS 1.2 aktivieren, schadet ja nichts oder doch?
Hat jemand Erfahrung mit dem Thema?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 596242
Url: https://administrator.de/contentid/596242
Printed on: April 27, 2024 at 00:04 o'clock
3 Comments
Latest comment
Moin,
Server? Ja welcher denn? Debian, CentOS, Windows NT, 2000, 2003, 2008, 2008R2, 2012, 2012R2, 2016, 2019 ...? Das ist nämlich die entscheidende Fragen.
Aha. Da vermute ich mal einen Server >=2012.
Falsch. Die Schlüssel setzt man nur dann, wenn man vom Standard des BS abweichen will. Was bei welcher Windose Stantard ist, findest Du hier:
https://docs.microsoft.com/de-de/windows/win32/secauthn/protocols-in-tls ...
hth
Erik
Zitat von @user217:
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben.
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben.
Server? Ja welcher denn? Debian, CentOS, Windows NT, 2000, 2003, 2008, 2008R2, 2012, 2012R2, 2016, 2019 ...? Das ist nämlich die entscheidende Fragen.
Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.
Aha. Da vermute ich mal einen Server >=2012.
Um dies zu aktivieren wären folgende keys notwendig.
Falsch. Die Schlüssel setzt man nur dann, wenn man vom Standard des BS abweichen will. Was bei welcher Windose Stantard ist, findest Du hier:
https://docs.microsoft.com/de-de/windows/win32/secauthn/protocols-in-tls ...
hth
Erik
also zu allererst:
windows unter dem Stand 2016, der SQL SErver 2016 und ich meine auch Exchange müssen gepatcht werden damit sie TLS 1.2 unterstützen
Erst die 2016er Produkte unterstützen das nativ. Wir hatten da schon Fälle wo ein Kunde Verschlüsselung forciert hat, TLS 1.0 und 1.1 verboten, aber 1.2 konnte das Betriebsystem garnicht (2008R2) weil es dafür nicht gepatcht war. Infolgedessen ging dann garnichts mehr.
Besorg dir das Tool IISCRYPTO, das ist in der Lage, TLS in allen erdenklichen Varianten zu konfigurieren und ich meine uach die Registrykeys automatisert zu exportieren. Denn das ist nicht nur hier und da ein Key, das sind incl der Ciphersuits fast ein Dutzend Stellen an denen man was machen muß. Und sowas macht der Admin von heute nicht mehr per Hand.
windows unter dem Stand 2016, der SQL SErver 2016 und ich meine auch Exchange müssen gepatcht werden damit sie TLS 1.2 unterstützen
Erst die 2016er Produkte unterstützen das nativ. Wir hatten da schon Fälle wo ein Kunde Verschlüsselung forciert hat, TLS 1.0 und 1.1 verboten, aber 1.2 konnte das Betriebsystem garnicht (2008R2) weil es dafür nicht gepatcht war. Infolgedessen ging dann garnichts mehr.
Besorg dir das Tool IISCRYPTO, das ist in der Lage, TLS in allen erdenklichen Varianten zu konfigurieren und ich meine uach die Registrykeys automatisert zu exportieren. Denn das ist nicht nur hier und da ein Key, das sind incl der Ciphersuits fast ein Dutzend Stellen an denen man was machen muß. Und sowas macht der Admin von heute nicht mehr per Hand.
