none
MS SBS Server 2008 / 2008 R2 / 2011 und Poodle Lücke RRS feed

  • Frage

  • Hallo an alle,

    gibt es Aussagen und notwendige Einstellungen für die MS SBS Server 2008 / 2008 R2 / 2011 und der bekannten "Poodle Lücke"

    Was bzw. muss man was tun um diese Server abzusichern?

    Danke und schönes Wochenende.


    Danke und liebe Grüße Oliver Richter

    Freitag, 17. Oktober 2014 12:07

Antworten

  • Hi,

    im IIS kann SSL wie folgt deaktiviert werden:

    https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html


    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    • Als Antwort markiert Oliver Richter Donnerstag, 30. Oktober 2014 11:08
    Freitag, 17. Oktober 2014 15:10

Alle Antworten

  • Hi Oliver,

    das einfachste ist, ein Gruppenrichtlinienobjekt zu erstellen und die Einstellung darüber zu verteilen (GPP - Internet Explorer 8,9 bzw. 10, unter "Erweitert" den Haken bei "SSL 3.0" rausnehmen, auf Domäne verknüpfen).


    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Freitag, 17. Oktober 2014 12:51
  • Danke @Ben

    OK, die Clienten hätten wir schon so abgesichert. So wie ich aber gehört habe, könnten auch die Server selbst (wenn z.B. einer via Remotegateway und Browser auf den Server zugreift) infiltriert werden. Habe keine Ahnung ob dies so ist.

    Mache ich z.B. einen SSL Test von extern auf die RWW Seite der SBS Server erhalte ich z.B dieses besorgniserregende Bild:

    Was heißt es da zu tun?

     


    Danke und liebe Grüße Oliver Richter

    Freitag, 17. Oktober 2014 14:21
  • Hi,

    im IIS kann SSL wie folgt deaktiviert werden:

    https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html


    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    • Als Antwort markiert Oliver Richter Donnerstag, 30. Oktober 2014 11:08
    Freitag, 17. Oktober 2014 15:10
  • Danke @Ben

    Wenn wir SSL2 und SSL3 deaktivieren, sind da Auswirkungen auf den SBS und/oder RWW bzw. andere (Standard MS Dienste/Funktionen) zu befürchten oder ist das easy-to-do.

    Danke und schönes Wochenende an alle.


    Danke und liebe Grüße Oliver Richter

    Freitag, 17. Oktober 2014 16:26
  • Am 17.10.2014 schrieb Oliver Richter:

    Wenn wir SSL2 und SSL3 deaktivieren, sind da Auswirkungen auf den SBS und/oder RWW bzw. andere (Standard MS Dienste/Funktionen) zu befürchten oder ist das easy-to-do.

    Benutzt ihr OWA von extern? Wenn ja, dann hast Du nach dem
    deaktivieren von SSL sicherlich ein Problem.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Samstag, 18. Oktober 2014 18:37
  • Danke @Winfried

    auf so ein Ding mit z.B. der OWA hatte ich gewartet ;-)

    Interessanterweise funktioniert in dem Testszenario das OWA von extern via https problemlos. Was würdest Du da als "Problem" mit der OWA sehen?

    P.S. SSL 2.0 und SSL 3.0 wurden definitiv als "deaktiviert" geprüft (siehe Bild)


    Danke und liebe Grüße Oliver Richter

    Montag, 20. Oktober 2014 15:01
  • Hi,

    also, aus meiner Sicht sollte es da keine Probleme geben, sofern nicht von Clients mit Konfigurationen vor Windows XP SP3 zugegriffen wird (da gab es noch kein TLS). Ich habe dazu auch recherchiert und überall im Wesentlichen diese Aussage gefunden. Alle Systeme seit XPSP3 unterstützen den Aufruf von Webseiten per TLS.

    Aber wie wir immer wieder lesen, soll es immer noch Unternehmen geben, die nach wie vor XP mit älteren Ständen einsetzen... ;-)

    Zur Sicherheit solltest Du aber natürlich jedes System einzeln testen, bevor Du es produktiv umstellst. Zum Glück ist der Weg zurück ja nicht verbaut. :-)


    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Montag, 20. Oktober 2014 15:07
  • Am 20.10.2014 schrieb Oliver Richter:

    auf so ein Ding mit z.B. der OWA hatte ich gewartet ;-)

    Wieso kommst Du darauf nicht selbst?

    Interessanterweise funktioniert in dem Testszenario das OWA von extern via https problemlos. Was würdest Du da als "Problem" mit der OWA sehen?

    Hast Du nach der Umstellung den IIS oder den SBS neu gestartet und
    dann nochmal getestet?


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Montag, 20. Oktober 2014 15:24
  • >> auf so ein Ding mit z.B. der OWA hatte ich gewartet ;-)
    >> Wieso kommst Du darauf nicht selbst?

    Mhhh, mit dem selbst drauf kommen ist so ein Ding. Zum einen wollte ich primär nicht alles testen was möglich ist (weil dies evtl. schon dutzende andere vor mir getan haben), zum anderen ist es im Rahmen meiner begrenzten Zeit nicht möglich alle "Eventualitäten" durchzuprüfen. Tja und warum sollte ich in ein Problem rein laufen, wenn jemand anderes schon "STOP" ruft. Das hat nichts mit "lass die Arbeit die anderen machen", das hat eher mit anderen sprechen und einfach Erfahrungen austauschen zu tun. Mehr will ich hinter dieser Sache nicht sehen ;-)

    Neustart:

    Ja schon mehrfach neu gestartet - es gab bisher keine Beschwerden.

    Aber nochmals zu nachfragen: Was würdest Du als evtl. konkretes Problem mit OWA sehen? Das würde ich dann mal explizit testen.


    Danke und liebe Grüße Oliver Richter

    Montag, 20. Oktober 2014 15:41
  • Danke @Ben :-)

    Danke und liebe Grüße Oliver Richter

    Montag, 20. Oktober 2014 15:42