IIS 7.5: Sichere Protokolle aktivieren

Da zum Beispiel Citrix mittlerweile einige gute Blogbeiträge veröffentlicht hat, wie die Sicherheit von NetScaler Gateway Seiten erhöht werden kann, möchte ich hier kurz darauf eingehen, wie man einen IIS (ab Version 7.5) dazu bringen kann, weiterhin mit einem so abgesicherten Gateway zu kommunizieren (z.B. für die StoreFront Server):

Da es sich beim IIS um eine Windows-Komponente handelt, können die Protokolle durch das Erstellen der folgenden Keys in der Registry aktiviert werden:

TLS 1.1 Client:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\DisabledByDefault = [REG_DWORD] = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled = [REG_DWORD] = 1

TLS 1.1 Server:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\DisabledByDefault = [REG_DWORD] = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled = [REG_DWORD] = 1

TLS 1.2 Client:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\DisabledByDefault = [REG_DWORD] = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\Enabled = [REG_DWORD] = 1

TLS 1.2 Server:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\DisabledByDefault = [REG_DWORD] = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\Enabled = [REG_DWORD] = 1

Ebenso kann auf diesem Weg das mittlerweile als unsicher eingestufte SSL 3.0 deaktiviert werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server\DisabledByDefault = [REG_DWORD] = 1
Weitere Informationen hierzu finden Sie unter https://support.microsoft.com/en-us/kb/245030.

Die beiden Citrix Blog-Posts bezüglich des NetScaler Hardenings finden Sie unter:

http://blogs.citrix.com/2014/12/05/scoring-an-a-at-ssllabs-com-with-citrix-netscaler/

und

http://blogs.citrix.com/2015/05/22/scoring-an-a-at-ssllabs-com-with-citrix-netscaler-the-sequel/

Offene Fragen im Bereich Security und zur Absicherung Ihrer Citrix-Landschaft beantworten Ihnen die Spezialisten von der CEMA natürlich gerne und unterstützen ebenso gerne bei der Umsetzung der entsprechenden Sicherheitskonzepte und Konfigurationen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.