Microsoft IIS – SSLv3 und schwache Cipher deaktivieren

Noch nicht bewertet.

Wie im letzten Artikel zum Apache unter Linux, zeige ich in diesem, wie man den IIS im Bezug auf SSLv3 und den schwachen Ciphers absichert.

Dabei ist aber zu beachten, dass nach den nächsten Schritten der integrierte FTP-Server des IIS bei TLS Probleme machen kann, solange der Bug-Fix von Microsoft nicht eingespielt worden ist. Weiteres hierzu findest du in meinem früheren Artikel.

Um nun unter Windows die schwachen Cipher inkl. SSLv2 und -3 deaktivieren zu können, müssen in der Registry Änderungen vorgenommen werden. Ich empfehle hier einen kompletten Export des Schlüssels

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

zusammen mit allen darunter hängenden, um im Falle eines Fehlers den ursprünglichen Zustand wiederherstellen zu können.

Aber zuerst noch ein kleiner Disclaimer:
VORSICHT!
Durch das Arbeiten an der Registry kann Windows leicht beschädigt und funktionsuntüchtig gemacht werden. Führe die folgenden Schritte NUR aus, wenn du dir ganz sicher bist, welche Auswirkungen durch dein Tun entstehen. Ansonsten lass dir von jemanden helfen, der sich damit auskennt.
Ich übernehme KEINE Verantwortung für etwaige Schäden.

Ist dieser Teil der Registry gesichert, können wir uns ein Skript herunterladen, welches für uns die nötigen Einträge erstellt.
Dieses Skript wurde von Alexander Hass geschrieben und kann hier auf seiner Seite geladen werden.

Dieses Skript muss nun in der Powershell als Administrator ausgeführt werden.

Ist das erledigt müssen wir Windows noch neustarten.

Nun kannst du wieder mit dem Qualys SSL Server Test die Sicherheit deines IIS testen lassen.

Stimmt alles, solltest du eine gute „Note“ bekommen. 😉



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.