Artikel mit Tag windows server

IIS Crypto 3.3 - Protokolle und Cipher Suites unter Windows verwalten

Um Cipher Suites auf Windows Servern zur verwalten, muss in die Registry (HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL) eingegriffen werden. Nartac Software möchte diesen Eingriff am offenen Herzen vereinfachen und bietet seit Jahren das Tool IIS Crypto an.

IIS Crypto 3.3

IIS Crypto ermöglicht die einfache Verwaltung von Server-Protokollen, Chipers, Hashes und Schlüsselaustauschalgorithmen unter einer Oberfläche.

Ich habe dieses Tool früher oft verwendet, um Windows Server zu härten. Es werden die Versionen 2008, 2012, 2016, 2019 und 2022 unterstützt. Am besten hat mir die Möglichkeit gefallen, Cipher Suites neu anzuordnen.

Neben Windows Server 2022 wurde in der aktuellen Version die Unterstützung für TLS 1.3 implementiert.

Vorhandene Vorlagen wurden angepasst. So werden im Strict Template nun CBC Ciphers Suites unter Windows 2016 und höher entfernt.

iss-crypto

Fazit

Wenn man bedenkt, wie lange TLS 1.3 bereits im Einsatz ist, haben sich die Entwickler hinter IIS Crypto sehr (sehr) viel Zeit gelassen.

Unabhängig davon bietet das Tool mit seinen Best Practices (siehe Screenshot) unerfahrenen Nutzern eine einfache Möglichkeit, Windows Server zu härten und besser abzusichern.

Download

Tipp - Produkt Key in Microsoft Server 2012 R2 2019 mit Powershell anpassen

Ein Kurztipp für die Windows Welt. 

Es kommt öfters vor, dass ein Windows Server Produkt Key geändert oder angepasst werden muss. Am einfachsten geht dies über die integrierte PowerShell Konsole. Auch ein Wechsel der Windows Version von Evaluation zu Standard ist hier möglich.

Installiertes Windows System mit DISM auslesen

DISM /online /Get-CurrentEdition

Tool zur Imageverwaltung für die Bereitstellung
Version: 6.3.0000.000000

Abbildversion: 6.3.0000.00000

Aktuelle Edition:

Aktuelle Edition : ServerStandardEval

Der Vorgang wurde erfolgreich beendet.

Windows Produkt Key und Version auf Standard mit DISM ändern

DISM /online /Set-Edition:ServerStandard /ProductKey:<key> /AcceptEula

Tool zur Imageverwaltung für die Bereitstellung
Version: 6.3.0000.000000

Abbildversion: 6.3.000.00000

Komponentenaktualisierung wird gestartet...
Product Key-Installation wird gestartet...
Product Key-Installation ist abgeschlossen.

Paket "Microsoft-Windows-ServerStandardEvalEdition~000000000" wird entfernt
[==========================100.0%==========================]
Komponentenaktualisierung ist abgeschlossen.

Editionsspezifische Einstellungen werden angewendet...
Das Anwenden der editionsspezifische Einstellungen ist abgeschlossen.

Der Vorgang wurde erfolgreich beendet.
Zum Abschließen dieses Vorgangs muss Windows neu gestartet werden.
Möchten Sie den Computer jetzt neu starten? (Y/N)

Ebenso wäre es möglich, die Version auf "ServerDatacenter" zu ändern.

Die Kontrolle des Wechsels kann nach einem Neustart wieder mit demselben Befehl wie oben geprüft werden.

DISM /online /Get-CurrentEdition

Sollte die Variante mit DISM nicht funktionieren oder der Wechsel zu einer andere Windows Server Version überflüssig sein, kann alternativ mit "slmgr" dem Software Licensing Management Tool vom Windows gearbeitet werden. Damit ist ein Schlüsseltausch schnell erledigt.

slmgr

Windows Server 2012 2019 Produkt Key mit slmgr tauschen

slmgr /ipk <key>

 

Poodle - SSL 3.0 auf Windows Server deaktivieren

Die letzten Tage hatte ich einen Artikel auf dem Blog, der sich mit dem Abschalten des SSL 3.0 Protokolls auf Apache, Nginx oder Postfix Servern beschäftigte.

Was bei diesen linuxbasierten Servern natürlich komplett fehlte, waren Windows Systeme.

Auch auf einem IIS Server lässt sich SSLv3 recht einfach abschalten.

SSL3 auf Windows Servern deaktivieren

SSL3deaktivieren

Wie von anderen Problemen von Windows Systemen bekannt lassen sich diese meist über die Registry "regedit.exe" lösen. So ist das auch mit der aktuellen Poodle Lücke.

Es genügt zwei Werte in den Sicherheitseinstellungen der Registry zu setzen und schon, einen Neustart vorausgesetzt, ist SSL 3.0 nicht mehr aktiv.

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

Der Einfachheit halber, habe ich euch die zu ändernden Werte in eine ausführbare Registry Datei gepackt.

Diese könnt ihr herunterladen, entpacken und ausführen und müsst nicht in den Untiefen der Registry suchen.

Window_Server_SSL_3.0_deaktivieren


CCleaner Network Edition verfügbar

Es hatte sich bereits die letzten Wochen angekündigt, dass Piriform an einer Netzwerkversion des bekannten CCleaner arbeitet. Diese Version scheint nun fertig zu sein und kann als Testversion heruntergeladen werden. Die Network Edition ermöglicht es mit den bekannten Routinen Clients im Netzwerk zu säubern. Die Kommunikation läuft verschlüsselt ab und man kann Reinigungsregeln zentral verwalten. Leider ist diese Version nicht ganz billig, eine 10 Nutzerinstallation kostet bereits 199$. Lauffähig ist der Cleaner unter den gängigen Windows Maschinen, wie Windows Server 2003/2008 bzw. Windows XP, Vista und 7.

Die Testversion kann umsonst heruntergeladen werden.

ccleaner-network-edition

Wichtiges Microsoft Update für LNK Lücke

Bereits Mitte Juli wurde die Sicherheitslücke in den Microsoft LNK Dateien bestätigt. LNK Dateien kennt jeder und benutzt jeder. Eine einfache Verknüpfung auf dem Desktop ist z.B. eine .lnk Datei. Bei der neuen Sicherheitslücke genügt es, auf so eine Datei zu klicken, um sich Schadsoftware einzufangen. Microsoft hat jedoch, wie angekündigt, nun einen Patch veröffentlicht, der diese Lücke schließt. Jeder sollte also den Patch manuell herunterladen oder das MS Update anwerfen, um sein System zu aktualisieren. Auf der Microsoft Seite Security Bulletin MS10-046 findet ihr den passenden Patch für eure Windows Versionen. Der Patch ist für die Systeme Windows XP, Vista, Windows 7 sowie Windows Server 2003 und 2008 zu haben