3
Erfahrungen Domänenweit TLS aktivieren
Hallo,
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben. Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.
Um dies zu aktivieren wären folgende keys notwendig.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
Ich würde mir die entsprechenden Policys raussuchen und TLS 1.2 aktivieren, schadet ja nichts oder doch?
Hat jemand Erfahrung mit dem Thema?
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben. Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.
Um dies zu aktivieren wären folgende keys notwendig.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
Ich würde mir die entsprechenden Policys raussuchen und TLS 1.2 aktivieren, schadet ja nichts oder doch?
Hat jemand Erfahrung mit dem Thema?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 596242
Url: https://administrator.de/forum/erfahrungen-domaenenweit-tls-aktivieren-596242.html
Ausgedruckt am: 08.04.2025 um 21:04 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Server? Ja welcher denn? Debian, CentOS, Windows NT, 2000, 2003, 2008, 2008R2, 2012, 2012R2, 2016, 2019 ...? Das ist nämlich die entscheidende Fragen.
Aha. Da vermute ich mal einen Server >=2012.
Falsch. Die Schlüssel setzt man nur dann, wenn man vom Standard des BS abweichen will. Was bei welcher Windose Stantard ist, findest Du hier:
https://docs.microsoft.com/de-de/windows/win32/secauthn/protocols-in-tls ...
hth
Erik
Zitat von @user217:
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben.
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben.
Server? Ja welcher denn? Debian, CentOS, Windows NT, 2000, 2003, 2008, 2008R2, 2012, 2012R2, 2016, 2019 ...? Das ist nämlich die entscheidende Fragen.
Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.
Aha. Da vermute ich mal einen Server >=2012.
Um dies zu aktivieren wären folgende keys notwendig.
Falsch. Die Schlüssel setzt man nur dann, wenn man vom Standard des BS abweichen will. Was bei welcher Windose Stantard ist, findest Du hier:
https://docs.microsoft.com/de-de/windows/win32/secauthn/protocols-in-tls ...
hth
Erik
also zu allererst:
windows unter dem Stand 2016, der SQL SErver 2016 und ich meine auch Exchange müssen gepatcht werden damit sie TLS 1.2 unterstützen
Erst die 2016er Produkte unterstützen das nativ. Wir hatten da schon Fälle wo ein Kunde Verschlüsselung forciert hat, TLS 1.0 und 1.1 verboten, aber 1.2 konnte das Betriebsystem garnicht (2008R2) weil es dafür nicht gepatcht war. Infolgedessen ging dann garnichts mehr.
Besorg dir das Tool IISCRYPTO, das ist in der Lage, TLS in allen erdenklichen Varianten zu konfigurieren und ich meine uach die Registrykeys automatisert zu exportieren. Denn das ist nicht nur hier und da ein Key, das sind incl der Ciphersuits fast ein Dutzend Stellen an denen man was machen muß. Und sowas macht der Admin von heute nicht mehr per Hand.
windows unter dem Stand 2016, der SQL SErver 2016 und ich meine auch Exchange müssen gepatcht werden damit sie TLS 1.2 unterstützen
Erst die 2016er Produkte unterstützen das nativ. Wir hatten da schon Fälle wo ein Kunde Verschlüsselung forciert hat, TLS 1.0 und 1.1 verboten, aber 1.2 konnte das Betriebsystem garnicht (2008R2) weil es dafür nicht gepatcht war. Infolgedessen ging dann garnichts mehr.
Besorg dir das Tool IISCRYPTO, das ist in der Lage, TLS in allen erdenklichen Varianten zu konfigurieren und ich meine uach die Registrykeys automatisert zu exportieren. Denn das ist nicht nur hier und da ein Key, das sind incl der Ciphersuits fast ein Dutzend Stellen an denen man was machen muß. Und sowas macht der Admin von heute nicht mehr per Hand.
