none
IIS 7.5 Windows Server 2008 R2 SP1 RRS feed

  • Frage

  • Guten Tag Zusammen,

    bei einem unserer Server (Windows Server 2008 R2 DataCenter SP1) lässt sich bei dem IIS 7.5 SSL3 nicht deaktivieren. Desweiten wird auch TLS1.1 und TLS1.2 nicht aktiviert.

    Die Einstellungen haben wir über die IISCrypto.exe vorgenommen (hier werden sie richtig angezeigt). Alle Tests zeigen weiterhin an, dass SSL3 noch aktiv ist und TLS1.1 und TLS1.2 nicht aktiviert werden können.

    Auch ein Manuelles deaktivieren über die registry brachte keinen Erfolg. (https://support.microsoft.com/de-de/kb/245030/en-us)

     

    Der Server wurde diverse Mal neu gestartet ohne Erfolg. Windows Update Technisch ist er auch auf dem neusten Stand.

    Ich hoffe ihr könnt uns helfen.

    Vorab Vielen Dank.

    Gruß,

    Malte

    Dienstag, 9. Juni 2015 10:01

Antworten

  • Mal blöd gefragt: Du bist dir auch ganz sicher, dass zwischen Server und Internet kein Proxy (bspw. TMG) steht?! Oder durch Natting einer Firewall deren SSL-Konfig geprüft wird?
    • Als Antwort markiert Malte G Freitag, 12. Juni 2015 06:11
    Donnerstag, 11. Juni 2015 07:30
  • ich habe jetzt sicherheitshalber mit einem Kollegen die Firewall Einstellungen überprüfst soweit ist alles in Ordnung.

    Anschließend habe ich mir die Konfiguration der vom Server zur Verfügung gestellten Seiten einmal genauer angeguckt und Festgestellt, dass in einer Citrix config die zu verwendenden Protokolle SSLv3 & TLS1 eingetragen waren... Dies habe ich jetzt entsprechend geändert.

    Heute Abend oder morgen früh weis ich genaueres und melde mich noch einmal.

    • Als Antwort markiert Malte G Freitag, 12. Juni 2015 06:11
    Donnerstag, 11. Juni 2015 12:33

Alle Antworten

  • IISCrypto zeigt nur die letzten Einstellungen an, die vorgenommen wurden. Es liest die Registrywerte nicht aus.

    Was bedeutet, manuelles Deaktivieren brachte kein Erfolg? Bleiben die Werte nicht bestehen? Werden Sie zurückgesetzt? Werden die Cipher Suites möglicherweise über GPO verändert?

    Gruß,
    Matthias

    Mittwoch, 10. Juni 2015 08:21
  • Moin Matthias,

    danke für die Info, das war mir nicht bekannt...

    Mit manuelles Deaktivieren meine ich, dass wir die Regestrykeys z.B. fürs Aktivieren von TLS 1.2 manuell gesetzt haben:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

     

    Aber auch nach dem wir diese gesetzt haben und den Server neu starten funktioniert TLS 1.2 leider nicht.

    Die Werte werden in der registry weiterhin korrekt angezeigt (sie werden also nicht zurück gesetzt).

    Diese registrykeys funktionieren bei anderen IIS Servern bei uns im Haus.

    Via GPO werden die Cipher Suiets bei uns nicht angepasst. Die anderen schon angesprochenen Server haben die gleichen GPO Einstellungen wie der besagte Server.

     

    Gruß,

    Malte

    Mittwoch, 10. Juni 2015 08:53
  • Dann wird die Reihenfolge der Cipher Suiten nicht passen. Ändert diese mal über die lokale Policy: Start --> Run --> gpedit.msc --> Computer --> Adm. Vorlagen --> Netzwerk --> SSL-Konf. --> Reihenfolge...

    Nach Änderung die GPO übernehmen (gpudate /force) und den Server neu starten. Sollte so gehen.

    Wie testet ihr den Server?

    Mittwoch, 10. Juni 2015 09:09
  • Alternativ sollte das Update helfen: https://support.microsoft.com/en-us/kb/3042058
    Mittwoch, 10. Juni 2015 09:14
  • Ich habe die Cipher Suiten wie vorgeschlagen von Hand konfiguriert. Leider kann ich den Server zur Zeit nicht neu starten. Ich melde mich nach einem neustart ob es funktioniert hat.

    Wir testen über die https://www.ssllabs.com/ssltest/

    Aber auch wenn ich selbst mit dem Broweser auf usere https Seite gehe, kann ich sehen das diese nur via TLS1.0 verschlüsselt wird obwohl der Browser generell TLS1.2 kann.

    Mittwoch, 10. Juni 2015 09:47
  • Ja, das Phänomen kenne ich. Es kommt immer auf die Kombination Zertifikat, Cipher Suite, OS und Browser an. Daher rate ich generell über GPO die Suiten zu überarbeiten und dann unternehmensweit zu verteilen. Insbesondere um den neuen GCM-Mode, die neuen Hash-Algorithmen und ECDHE bzw. AES 256 priorisiert zu nutzen, bspw. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521.

    Ich möchte auch nochmal auf das Update 3042058 verweisen. Als Voraussetzung sind die folgenden Updates zu installieren. Das könnte auch deinen Fall betreffen.

    Auch interessant ist dieser Artikel zum Thema PFS: http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html

    Mittwoch, 10. Juni 2015 10:58
  • Leider hat die Konfiguration der Cipher Suiten auch keinen Erfolg gebracht. Diese werden von Windows auch nach einem gpupdate /force sowie reboot des Systems korrekt angezeigt. Aber laut ssllabs Test leider nicht angewendet. Hier werden andere Cipher Suiten angezeigt, welche nicht konfiguriert wurden.

    Das Update KB3042058 ist noch nicht eingespielt, dies werden wir nachholen und uns morgen noch einmal melden.

    Soweit schon einmal vielen Dank für deine Hilfe!



    • Bearbeitet Malte G Donnerstag, 11. Juni 2015 07:23
    Donnerstag, 11. Juni 2015 07:22
  • Mal blöd gefragt: Du bist dir auch ganz sicher, dass zwischen Server und Internet kein Proxy (bspw. TMG) steht?! Oder durch Natting einer Firewall deren SSL-Konfig geprüft wird?
    • Als Antwort markiert Malte G Freitag, 12. Juni 2015 06:11
    Donnerstag, 11. Juni 2015 07:30
  • ich habe jetzt sicherheitshalber mit einem Kollegen die Firewall Einstellungen überprüfst soweit ist alles in Ordnung.

    Anschließend habe ich mir die Konfiguration der vom Server zur Verfügung gestellten Seiten einmal genauer angeguckt und Festgestellt, dass in einer Citrix config die zu verwendenden Protokolle SSLv3 & TLS1 eingetragen waren... Dies habe ich jetzt entsprechend geändert.

    Heute Abend oder morgen früh weis ich genaueres und melde mich noch einmal.

    • Als Antwort markiert Malte G Freitag, 12. Juni 2015 06:11
    Donnerstag, 11. Juni 2015 12:33
  • Jetzt funktioniert TLS, es lag an den Einstellungen in der Citrix config.

    Diese Einstellungen übersteueren die Windows Einstellungen...

    Freitag, 12. Juni 2015 06:11