Um Cipher Suites auf Windows Servern zur verwalten, muss in die Registry (HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL) eingegriffen werden. Nartac Software möchte diesen Eingriff am offenen Herzen vereinfachen und bietet seit Jahren das Tool IIS Crypto an.
IIS Crypto 3.3
IIS Crypto ermöglicht die einfache Verwaltung von Server-Protokollen, Chipers, Hashes und Schlüsselaustauschalgorithmen unter einer Oberfläche.
Ich habe dieses Tool früher oft verwendet, um Windows Server zu härten. Es werden die Versionen 2008, 2012, 2016, 2019 und 2022 unterstützt. Am besten hat mir die Möglichkeit gefallen, Cipher Suites neu anzuordnen.
Neben Windows Server 2022 wurde in der aktuellen Version die Unterstützung für TLS 1.3 implementiert.
Vorhandene Vorlagen wurden angepasst. So werden im Strict Template nun CBC Ciphers Suites unter Windows 2016 und höher entfernt.
Fazit
Wenn man bedenkt, wie lange TLS 1.3 bereits im Einsatz ist, haben sich die Entwickler hinter IIS Crypto sehr (sehr) viel Zeit gelassen.
Unabhängig davon bietet das Tool mit seinen Best Practices (siehe Screenshot) unerfahrenen Nutzern eine einfache Möglichkeit, Windows Server zu härten und besser abzusichern.
MD5 Hashes knacken war bis vor kurzem noch mit etwas Rechenleistung verbunden. Die ständig wachsende Cloud macht diese Rechenpower inzwischen für viele zugänglich, so kann heutzutage beispielsweise die Amazon Cloud für solche Vorgänge missbraucht werden. Es existieren auch andere Wege um MD5 zu cracken, diese sind aber aufwendig umzusetzen.
Juuso Salonen ein findiger Programmierer hat einen pragmatischen Weg gefunden die Cloud zu nutzen und diesen in einem Ruby Script namens BozoCrack verewigt. Lustiger weise ist alles was das Script macht: googlen.
Doch was ist MD5 überhaupt? Hierzu eine kurze Erklärung: An einem Dienst oder PC muss man sich oft mit einem Benutzernamen und einem Passwort identifizieren. Würde man das Passwort im Klartext abspeichern, könnte es theoretisch jeder lesen und der Rechner oder Dienst wäre für jeden zugänglich. Um dies zu verhindern speichert man das Passwort in einem sogenannten Hash ab. Bereits 1991 hat man dazu Message-Digest Algorithm 5 entwickelt (MD5), dieser Algorithmus erzeugt aus Passwörtern oder Nachrichten eine 128-Bit Prüfsumme. In der Praxis wird bei einer Anmeldung euer Password sofort in MD5 umgerechnet und mit dem gespeicherten MD5 Hash verglichen, stimmen sie überein bekommt ihr Zugriff.
Wie oben zu erkennen, habe ich den MD5 Hash zu "Peter Pan" generiert, dieser lautet "b1f7e8c5c5d12670675975e769ec11b9". Gibt man diesen Wert nun bei Google ein wird man so gut wie immer auf die dort hinterlegte Nachricht stoßen. Es ist also recht simpel MD5 Hashwerte zu knacken, mehr als Google ist dazu nicht notwendig. Einzig die Idee den Vorgang zu automatisieren ist neu.
Zu groß muss die Angst um die eigenen Passwörter jedoch nicht sein, da viele Systeme ihre Hashes mit einem zusätzlichen Salt String versehen.
