IIS 7.5/IIS8, und Exchange 2010 und 2013 – SSL Hardening mit PFS

Bei Qualys einen Grade „A“ zu erreichen ist nicht jedermann’s Sache. Spätestens nach Snowden sollte jedoch jeden selbst ein Zustand von A- beunruhigen. Ziemlich lapidar bewerten die Herrschaften die fehlende Unterstützung von PFS (Perfect Forward Secrecy) und die Signaturalgorythmen von SHA1. Auf Deutsch: Ein A- ist (mit Rücksicht auf die Eltern) also eine Fünf minus. Wie abstellen?

Bildschirmfoto 2014-09-24 um 23.12.55

Heiß begehrtes „Prüfsiegel“ von Qualys SSL Labs

[ad name=“HTML“]

Es gibt eine Menge von Tools und Anleitungen und im Technet Empfehlungen, die Cipher Suites von Hand zu setzen. Irgendwie ist das aber immer mit relativ viel Handarbeit zu bewerkstelligen und jedes Mal mit einem Neustart verbunden. Gesucht wird also die schnellste und beste Lösung. Die passenden Schlüssel sind hier bei Dir in der Registry zu finden:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
010002

Auf 2008R2 kommt noch hinzu, dass die Herrschaften aus Redmond noch nicht mal mit einem Sicherheitsupdate das inzwischen gebrochene SSLv2 Protokoll abstellt. Das führt dann zum unbefriedigenden Ergebnis von „F“ bei Qualys. Der findige Googler kommt irgendwann auf Technet und diese Anleitung:

1. Open the registry and create a key named Server under the following entry :

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

2. Under the registry key Server, create a

DWORD “DisabledByDefault”
value “00000001”

3. Reboot the server

Jedoch fehlt dann auf den Hütten immer noch PFS und A- ist weiterhin akut, immerhin ist man damit schonmal SSLv2 losgeworden. Alexander Hass gebührt für diese hervorragende Lösung meine absolute Hochachtung. Unter Verzicht auf furchtbare Tools und vordefinierte Registrysettings hat er das mit Abstand sauberste Powershell Script geschrieben, welches die Aufgabe erstklassig löst.

Zu finden hier, auf seiner Homepage: Link.
Zur Sicherheit hier auch nochmal für Euch: Link

Veröffentlicht in Allgemein