henere
09.05.2018
view3179
view8
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Härten von IIS auf 2016 mit Exchange 2016

gelöstFrageInternetServer
Servus zusammen,

würde gerne den OWA etwas sicherer machen.

Habe dazu folgendes Script gefunden. Spricht eurer Meinung nach etwas gegen den Einsatz ?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001  
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000  
"Enabled"=dword:00000001  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000  
"Enabled"=dword:00000001  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 168/168]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000   

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

Grüße, Henere
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 373527

Url: https://administrator.de/forum/haerten-von-iis-auf-2016-mit-exchange-2016-373527.html

Ausgedruckt am: 09.05.2025 um 13:05 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 09.05.2018 um 17:45:30 Uhr
Goto Top
Wäre das nicht eher was für die Rubrik "Microsoft -> Exchange Server" ?!
spec1re
Lösung spec1re 09.05.2018 aktualisiert um 18:54:33 Uhr
Goto Top
Das Script oder das Tool hier:

https://www.nartac.com/Products/IISCrypto

ist ein bisschen übersichtlicher, aber machen beide das gleiche.

Gruß Spec

https://www.frankysweb.de/chrome-und-windows-server-2016-err_spdy_inadeq ...
Henere
Henere 09.05.2018 um 20:39:30 Uhr
Goto Top
Habe jetzt mal mein Regfile importiert und neu gestartet.

Abgesehen von einer privaten CA finde ich, das sieht gut aus, oder ?

unbenannt

Henere
certifiedit.net
certifiedit.net 09.05.2018 um 23:08:00 Uhr
Goto Top
Hallo,

vorher/Nachher Bilder wären nicht schlecht, abgesehen davon sagen die Balken im Zweifel noch nichts.

VG
Henere
Henere 09.05.2018 um 23:13:23 Uhr
Goto Top
Den vorher Shot hatte ich vergessen. Shame on me.
War aber deutlich schlechter weil der Exchange (bzw IIS) sogar Doppel-ROT13 als Verschlüsselung akzeptiert hat.

Zumindest mal eine Baustelle weniger.
certifiedit.net
certifiedit.net 09.05.2018 um 23:28:12 Uhr
Goto Top
DoppelRot als Verschlüsselung? Naja, je nach dem, was man so mit Ihm einrichtet...
Henere
Henere 09.05.2018 um 23:40:35 Uhr
Goto Top
Doppel ROT13 bitte....

War komplett auf Standard 2016er Installation
Dani
Dani 10.05.2018 aktualisiert um 14:25:27 Uhr
Goto Top
Moin Henre,
Abgesehen von einer privaten CA finde ich, das sieht gut aus, oder ?
meiner Meinung noch nicht... es fehlen noch elementare Dinge (für ein A+):
  • Self Signed Zertifikat durch eines von LE ersetzen
  • Key Exchange wird erst 100 Punkte erhalten, wenn das eingesetzte Zertifikat eine Schlüssellänge von 4096 nutzt.
  • CAA Eintrag
  • HSTS Eintrag
  • Cipher Suites wird erst 100 Punkte erhalten, wenn du die schwachen Algorithmen deaktivierst, parallel aber Diffle-Hellmann von 1024 auf 4096 Bit erhöhst. Das kann das IISCrypto nämlich nicht. face-smile


Gruß,
Dani
gelöstFrageInternetServer
Mehr von HenereHenereTrendNet Webcam - Probleme beim einrichtenHenere - 6 KommentareHenereWebcam Empfehlung gesuchtHenere - 5 KommentareHenereWSUS - Updates werden nicht geladenHenere - 8 KommentareHenereToolGetExchangeStatusForWatcher.exeHenere - 12 Kommentare
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - grotesker RAM und CPU VerbrauchMysticFoxDE - 46 KommentareBN2023Musik über Soundkarte aufnehmen ohne mitzuhörenBN2023 - 33 KommentareMysticFoxDEWindows Server - Hotpatching - bald verfügbar - jedoch nicht umsonstMysticFoxDE - 32 KommentareKassiopeia86FRITZBox 7590 schaltet als Mesh-Repeater hinter FRITZBox 6860 5G die LAN-Ports zurück auf 100 MbitKassiopeia86 - 31 KommentareHolgerLuchsEmpfehlung: Besserer WLAN-AC für VereinHolgerLuchs - 21 KommentareMysticFoxDEEPA - CCC hebelt auch den "neuen" Schutz ausMysticFoxDE - 21 KommentareMondragorWindows Server 2025 friert komplett nach Reboot und Zugriff auf iSCSI-Target einMondragor - 18 KommentareCCHEK33Kein Remote Zugriff mit meiner IP AdresseCCHEK33 - 17 KommentareAvengaGS1920-24HP IGMP Snooping aktivierenAvenga - 16 KommentarejohapauNameserver von selbst verwaltet auf kommerziellen Anbieter umstellen?johapau - 16 KommentareBPeterWinRM über httpsBPeter - 15 Kommentaresbs-newbieWindows DC: Probleme mit DNS-Auflösung bei vollständiger Namensangabesbs-newbie - 14 KommentareCoreknabeNicht zertifizierte Platten in Fujitsu EternusCoreknabe - 13 Kommentare