none
GPO für TLS Cipher Suites RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    Weiss einer on Euch, ob ich für Windows Serer 2012 R2 & Server 2016 unterschiedliche GPOs für das Einstellen der Cipher Suites (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002\Functions) brauche?

    bei Windows 2012 R2 hängt hinten ja immer ein "_P***" dran

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

    bei Windows 2016

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Frage: kann ich eine Komma-seperierten Wert mit allen Varianten machen und jedes OS picht sich raus, was es braucht, oder muss ich für jedes OS eine GPO bauen?

    Freitag, 21. Juni 2019 07:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    die Erklärung ist hier:

    Prior to Windows 10, cipher suite strings were appended 
    with the elliptic curve to determine the curve priority. 
    Windows 10 supports an elliptic curve priority order setting 
    so the elliptic curve suffix is not required and is overridden 
    by the new elliptic curve priority order, when provided, 
    to allow organizations to use group policy to configure 
    different versions of Windows with the same cipher suites.
    Insofern, wenn Du für die neuen Maschinen keine andere Kurven-Reihenfolge definieren willst als für die älteren, kannst Du die gleiche Einstellung für alle nutzen. Dabei ist aber zu beachten, dass die in Server 2ß016 festgelegte Kurven-Reihenfolge die Einstellung aus der Policy überschreiben wird!

    Evgenij Smirnov

    http://evgenij.smirnov.de


    Freitag, 21. Juni 2019 07:50
    |
  • Question
    Anmelden
    0
    Anmelden
    perfekt.... vielen Dank!!!
    Sonntag, 23. Juni 2019 22:37
    |