geradekurve
Goto Top

TSL 1.0 u. 1.1 Auswirkung RDP

Hallo zusammen,

mein erster Beitrag hier, will mich kurz Vorstellen. Bin Sven, 33 Jahre jung, ständig unterwegs, hauptsächlich auf geraden Kurven.

Frage:

Welchen Einfluss hat es, wenn ich an meinem Windows Server 2022 die TSL 1.0 und 1.1 abschalte, auf meine RDP Verbindung von Windows 10 aus?

Hab Angst mich selbst auszusperren.

Google hat mir nicht wirklich ein Sicherheitsgefühl gegeben.

Vielen Dank fürs Fachwissen.

Gruß Sven

Content-ID: 2402146708

Url: https://administrator.de/forum/tsl-1-0-u-1-1-auswirkung-rdp-2402146708.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Dani
Dani 04.04.2022 um 14:25:00 Uhr
Goto Top
Moin,
geht es nur um den administrativen Zugriff via RDP auf den Server oder reden wir von einem RDS Server mit dem klassichen Rollen RDGW, RDWeb, RDCB, RDSH?!


Gruß,
Dani
GeradeKurve
GeradeKurve 04.04.2022 um 14:29:36 Uhr
Goto Top
Nur um admin zugriff
Dani
Lösung Dani 04.04.2022 um 15:45:08 Uhr
Goto Top
Moin,
dann spricht nichts dagegen. Machen wir bei uns mit Windows Server 2019 auch so. Achte aber darauf, dass du bei Cipher Suites nicht so streng bist. Je nachdem von welchen Betriebssystemen du aus zugreifst.


Gruß,
Dani
EliteHacker
EliteHacker 04.04.2022 aktualisiert um 18:37:50 Uhr
Goto Top
Hallo.

Wer sich durch das deaktivieren von TLS 1.0 und TLS 1.1 ausschließt, der hat es nicht anderst verdient. Das würde nämlich bedeuten, dass man mindestens 10 Jahre nicht mehr aktualisierte Software verwendet, denn TLS 1.2 wurde 2008 veröffentlicht.

Ich würde es sogar empfehlen TLS 1.0 und TLS 1.1 (und im Jahr 2023 TLS 1.2) zu deaktivieren. Wer das nicht tut handelt grob fahrlässig.

Ich gratuliere dir übrigens dafür, dass du eine aktuelle Version von Windows Server (2022) verwendest.

Gruss
Dani
Dani 04.04.2022 aktualisiert um 18:48:47 Uhr
Goto Top
Moin,
Das würde nämlich bedeuten, dass man mindestens 10 Jahre nicht mehr aktualisierte Software verwendet, denn TLS 1.2 wurde 2008 veröffentlicht.
Funktionen (z.B. RDS Rollen, ADFS + WAP, etc.) von Windows Server funktionieren mit TLS 1.2 only je nach Kombination teilweise bzw. gar nicht mehr. Da bleibt mir nichts anders übrig als damit zu leben oder RDS nicht zu installieren.


Gruß,
Dani
EliteHacker
EliteHacker 04.04.2022 aktualisiert um 19:25:58 Uhr
Goto Top
Hallo.

Funktionen (z.B. RDS Rollen, ADFS + WAP, etc.) von Windows Server funktionieren mit TLS 1.2 only je nach Kombination teilweise bzw. gar nicht mehr.

Echt? Das wusste ich gar nicht. Danke. Wieder was gelernt. Wieso eigentlich nicht? Will Microsoft das so? Macht Microsoft das mit voller Absicht? Wurden sie von der NSA beauftragt? Oder sind die einfach zu inkompetent? Oder schreibt ein veralteter Standard vor, dass man unsichere Protokolle verwenden muss?
Jetzt weiss ich wieso Windows-Netzwerke so unsicher sind. Na dann ist's ja klar, warum Windows-Netzwerke ständig Opfer von Datenleaks sind und mit Ransomware befallen werden.

Wenn man veraltete Prokolle verwendet, kann man noch so viele Firewalls kompensatorisch vorndranstellen und 5 verschiedene Antivirenprogramme installieren und mit Schlangenöl einreiben, es nützt nichts.

Bereits aus diesem Grund allein kann Windows nicht DSGVO-Konform betrieben werden.

Gruss
Dani
Dani 04.04.2022 um 20:19:40 Uhr
Goto Top
Moin,
Wieso eigentlich nicht?
Die Entwicklung ist wohl dran. Mehfach schon verschiedene Support Cases offen gehabt. Aber es liegt vermutlich daran, dass zu viele Teams da involviert sind.

Jetzt weiss ich wieso Windows-Netzwerke so unsicher sind.
Out-of-the box mag das teilweise für Windows stimmen. Aber das gilt auch für die Linux-Welt.

Bereits aus diesem Grund allein kann Windows nicht DSGVO-Konform betrieben werden.
das ist so nicht richtig. Es gibt sehr wohl Ansätze, die es ermöglichen. Wobei es immer eine Abwägung ist. Es hängt in der Praxis auch von der Art von Daten ab.


Grüße,
Dani
GeradeKurve
Lösung GeradeKurve 05.04.2022, aktualisiert am 21.04.2022 um 17:26:32 Uhr
Goto Top
Guten Morgen zusammen,

also ich kann bestätigen, dass die Deaktivierung von TSL 1.0 + 1.1 keinen negativen Einfluss (aussperren) bei einer RDP Verbindung hat.

Host: Windows Server 2022
Client: Windows 10

Jetzt ist der Host laut IIS Crypto und SSLLabs auf akzeptablen Stand.

iis_crypto_schannel

ssllabs

Danke für die Hilfe.
Dani
Dani 05.04.2022 um 19:41:48 Uhr
Goto Top
Moin,
ein A+ sollte es schon sein. face-wink


Gruß,
Dani
EliteHacker
EliteHacker 05.04.2022 aktualisiert um 22:05:18 Uhr
Goto Top
Hallo

Ich werde jetzt mal den Advokaten des Teufels spielen. face-smile

SSLLabs bewertet ziemlich mild. Nicht mal A+ ist einigermaßen sicher.

Triple DES 168?!
MD5, SHA?!
PKCS?!

Und dafür gibt es A? Was zur Hölle?

Seit wann kann SSLLabs RDP-Verbindungen überprüfen? Ich dachte die prüfen nur HTTPS?

Gruss
Dani
Dani 05.04.2022 um 23:05:14 Uhr
Goto Top
Moin,
Seit wann kann SSLLabs RDP-Verbindungen überprüfen? Ich dachte die prüfen nur HTTPS?
ist auch nach wie vor so. Allerdings nutzen alle Microsoft Rollen und Features die selben Schnittstellen von Windows. D.h. entweder Schannel oder/und WinHTTP. Somit gelten die Einstellungen auch für RDP.


Gruß,
Dani