IIS 7.5/IIS8, und Exchange 2010 und 2013 – SSL Hardening mit PFS

Menu:/IIS 7.5/IIS8, und Exchange 2010 und 2013 – SSL Hardening mit PFS

IIS 7.5/IIS8, und Exchange 2010 und 2013 – SSL Hardening mit PFS

Bei Qualys einen Grade „A“ zu erreichen ist nicht jedermann’s Sache. Spätestens nach Snowden sollte jedoch jeden selbst ein Zustand von A- beunruhigen. Ziemlich lapidar bewerten die Herrschaften die fehlende Unterstützung von PFS (Perfect Forward Secrecy) und die Signaturalgorythmen von SHA1. Auf Deutsch: Ein A- ist (mit Rücksicht auf die Eltern) also eine Fünf minus. Wie abstellen?

Bildschirmfoto 2014-09-24 um 23.12.55

Heiß begehrtes „Prüfsiegel“ von Qualys SSL Labs

Es gibt eine Menge von Tools und Anleitungen und im Technet Empfehlungen, die Cipher Suites von Hand zu setzen. Irgendwie ist das aber immer mit relativ viel Handarbeit zu bewerkstelligen und jedes Mal mit einem Neustart verbunden. Gesucht wird also die schnellste und beste Lösung. Die passenden Schlüssel sind hier bei Dir in der Registry zu finden:

Auf 2008R2 kommt noch hinzu, dass die Herrschaften aus Redmond noch nicht mal mit einem Sicherheitsupdate das inzwischen gebrochene SSLv2 Protokoll abstellt. Das führt dann zum unbefriedigenden Ergebnis von „F“ bei Qualys. Der findige Googler kommt irgendwann auf Technet und diese Anleitung:

1. Open the registry and create a key named Server under the following entry :

2. Under the registry key Server, create a

3. Reboot the server

Jedoch fehlt dann auf den Hütten immer noch PFS und A- ist weiterhin akut, immerhin ist man damit schonmal SSLv2 losgeworden. Alexander Hass gebührt für diese hervorragende Lösung meine absolute Hochachtung. Unter Verzicht auf furchtbare Tools und vordefinierte Registrysettings hat er das mit Abstand sauberste Powershell Script geschrieben, welches die Aufgabe erstklassig löst.

Zu finden hier, auf seiner Homepage: Link.
Zur Sicherheit hier auch nochmal für Euch: Link

By | 2015-06-03T16:55:53+00:00 03.06.2015|0 Comments

About the Author:

John Lose
John Lose ist Informationstechnologe und Datenreisender. Manche mögen ihn als "Aluhut-Träger" bezeichnen, denn er mag nur kleine Rechenzentren, die er selbst kennt. Public Clouds kommen für Ihn höchstens für Webseiten in Frage. John ist Katzenliebhaber, hat aber keine Katze, fährt gerne nach Südfrankreich und hört Tech-House. Mehr über John Lose erfährst Du in seiner Vita.  Wenn Dir dieser Beitrag gefallen hat, so kannst Du auch Danke sagen, wenn Du möchtest:  >> Dankeschön <<.