user217
Goto Top

Erfahrungen Domänenweit TLS aktivieren

Hallo,

ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben. Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.

Um dies zu aktivieren wären folgende keys notwendig.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

Ich würde mir die entsprechenden Policys raussuchen und TLS 1.2 aktivieren, schadet ja nichts oder doch?
Hat jemand Erfahrung mit dem Thema?

Content-Key: 596242

Url: https://administrator.de/contentid/596242

Printed on: May 22, 2024 at 15:05 o'clock

Member: erikro
erikro Aug 14, 2020 at 12:10:23 (UTC)
Goto Top
Moin,

Zitat von @user217:
ich setzte mich gerade mit dem Thema Kryptografie auseinander und da ist mir aufgefallen das Server in der Default config gar kein TLS eingeschaltet haben.

Server? Ja welcher denn? Debian, CentOS, Windows NT, 2000, 2003, 2008, 2008R2, 2012, 2012R2, 2016, 2019 ...? Das ist nämlich die entscheidende Fragen.

Unter dem Schlüssel Protocols findet man lediglich SSL 2.0/Client, sonst nix.

Aha. Da vermute ich mal einen Server >=2012.

Um dies zu aktivieren wären folgende keys notwendig.

Falsch. Die Schlüssel setzt man nur dann, wenn man vom Standard des BS abweichen will. Was bei welcher Windose Stantard ist, findest Du hier:
https://docs.microsoft.com/de-de/windows/win32/secauthn/protocols-in-tls ...

hth

Erik
Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Aug 14, 2020 at 13:20:55 (UTC)
Goto Top
also zu allererst:
windows unter dem Stand 2016, der SQL SErver 2016 und ich meine auch Exchange müssen gepatcht werden damit sie TLS 1.2 unterstützen

Erst die 2016er Produkte unterstützen das nativ. Wir hatten da schon Fälle wo ein Kunde Verschlüsselung forciert hat, TLS 1.0 und 1.1 verboten, aber 1.2 konnte das Betriebsystem garnicht (2008R2) weil es dafür nicht gepatcht war. Infolgedessen ging dann garnichts mehr.

Besorg dir das Tool IISCRYPTO, das ist in der Lage, TLS in allen erdenklichen Varianten zu konfigurieren und ich meine uach die Registrykeys automatisert zu exportieren. Denn das ist nicht nur hier und da ein Key, das sind incl der Ciphersuits fast ein Dutzend Stellen an denen man was machen muß. Und sowas macht der Admin von heute nicht mehr per Hand.
Member: user217
user217 Aug 18, 2020 at 12:37:26 (UTC)
Goto Top
Hallo und danke für eure Beiträge.

das hier importieren importieren und Ruck Zuck ausrollen..