bewährte Methoden für die Exchange Server der TLS-Konfiguration

In dieser Dokumentation werden die erforderlichen Schritte zum ordnungsgemäßen Konfigurieren von TLS 1.2 am Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 beschrieben. Außerdem wird beschrieben, wie Sie die Verschlüsselungssammlungen und Hashalgorithmen optimieren, die von TLS 1.2 (nur Exchange Server 2016) verwendet werden. Darüber hinaus wird beschrieben, wie TLS 1.0 und 1.1 ordnungsgemäß konfiguriert werden, unabhängig davon, ob es in .NET Framework deaktiviert und ordnungsgemäß konfiguriert werden soll. Bitte lesen Sie sorgfältig, da einige der hier beschriebenen Schritte nur unter bestimmten Betriebssystemen (z. B. Windows Server 2016) oder bestimmten Exchange Server Versionen ausgeführt werden können.

Hinweis

Die Implementierung von Microsoft TLS 1.0 hat keine bekannten Sicherheitsschwachstellen. Aufgrund des Potenzials für zukünftige Protokoll downgrade-Angriffe und andere TLS-Sicherheitsrisiken wird jedoch empfohlen, TLS 1.0 und 1.1 sorgfältig zu planen und zu deaktivieren. Wenn Sie nicht sorgfältig planen, kann dies dazu führen, dass die Konnektivität für Clients verloren geht.

Wichtig

Dieses Dokument enthält Schritte, die Ihnen mitteilen, wie Sie die Registrierung ändern. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Voraussetzungen

Tls 1.2-Unterstützung wurde mit dem kumulativen Update (CU) 19 auf Exchange Server 2013 und CU 8 bis Exchange Server 2016 hinzugefügt. Exchange Server 2019 unterstützt standardmäßig TLS 1.2. Es ist möglich, TLS 1.0 und 1.1 am Exchange Server 2013 mit CU 20 und höher oder am Exchange Server 2016 mit CU 9 und höher zu deaktivieren. Es ist auch erforderlich, dass die neueste Version von .NET Framework und die zugehörigen Patches vorhanden sind, die von Ihrem CU unterstützt werden.

Exchange Server kann nicht ohne Windows Server ausgeführt werden, daher ist es wichtig, die neuesten Betriebssystemupdates installiert zu haben, um eine stabile und sichere TLS 1.2-Implementierung auszuführen.

Stellen Sie basierend auf Ihrem Betriebssystem sicher, dass die folgenden Updates ebenfalls vorhanden sind (sie sollten installiert werden, wenn Ihr Server auf windows Aktualisierungen aktuell ist):



Betriebssystem Erforderliche Aktualisierungen
Windows Server 2016 Nicht zutreffend
Windows Server 2012 (R2) KB3161949, KB2973337

Aktivieren von TLS 1.2

Aktivieren von TLS 1.2 für Schannel

Hinweis

Beim Konfigurieren eines Systems für TLS 1.2 können Sie die Schannel- und .NET-Registrierungsschlüssel gleichzeitig festlegen und den Server einmal neu starten.

  1. Erstellen Sie in Notepad.exe eine Textdatei namens TLS12-Enable.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern von TLS12-Enable.reg
  4. Doppelklicken Sie auf die Datei TLS12-Enable.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Aktivieren von TLS 1.2 für .NET 4.x

Der SystemDefaultTlsVersions Registrierungswert definiert, welche Standardversionen des Sicherheitsprotokolls von .NET Framework 4.x verwendet werden. Wenn der Wert auf 1 festgelegt ist, erbt .NET Framework 4.x seine Standardwerte von den Windows Schannel-RegistrierungswertenDisabledByDefault. Wenn der Wert nicht definiert ist, verhält sich .NET Frameword wie beim Wert „0“. Die starke Kryptografie (konfiguriert durch den SchUseStrongCrypto Registrierungswert) verwendet sicherere Netzwerkprotokolle (TLS 1.2, TLS 1.1 und TLS 1.0) und blockiert Protokolle, die nicht sicher sind. SchUseStrongCrypto betrifft nur Clientverbindungen (ausgehende Verbindungen) in Ihrer Anwendung. Durch die Konfiguration von .NET Framework 4.x zum Erben der Werte von Schannel erhalten wir die Möglichkeit, die neuesten Versionen von TLS zu verwenden, die vom Betriebssystem unterstützt werden, einschließlich TLS 1.2.

Hinweis

Exchange Server 2019 verfügt nur über eine TLS 1.2-Standardkonfiguration. Die meisten der in diesem Artikel beschriebenen Schritte sind bereits konfiguriert. Ist SchUseStrongCrypto jedoch derzeit nicht standardmäßig konfiguriert und sollte daher wie unten beschrieben manuell konfiguriert werden. Microsoft untersucht die Möglichkeit, diese Konfiguration in einem zukünftigen Exchange Server 2019-Update hinzuzufügen.

  1. Erstellen Sie in Notepad.exe eine Textdatei mit dem Namen NET4X-UseSchannelDefaults.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern von NET4X-UseSchannelDefaults.reg
  4. Doppelklicken Sie auf die Datei NET4X-UseSchannelDefaults.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Aktivieren von TLS 1.2 für .NET 3.5

Exchange Server 2013 und später ist dies nicht mehr erforderlich. Es wird jedoch empfohlen, sie identisch mit der .NET 4.x-Einstellung zu konfigurieren, um eine konsistente Konfiguration sicherzustellen.

  1. Erstellen Sie in Notepad.exe eine Textdatei mit dem Namen NET35-UseSchannelDefaults.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern von NET35-UseSchannelDefaults.reg
  4. Doppelklicken Sie auf die Datei NET35-UseSchannelDefaults.reg
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Überprüfen, dass TLS 1.2 verwendet wird

Nachdem TLS 1.2 aktiviert wurde, kann es hilfreich sein, zu überprüfen, ob Ihre Arbeit erfolgreich war und das System TLS 1.2 für eingehende (Server-)Verbindungen und ausgehende (Client)-Verbindungen aushandeln kann. Es stehen einige Methoden zur Überprüfung zur Verfügung, von denen einige in den folgenden Abschnitten erläutert werden.

Viele Protokolle, die in Exchange Server verwendet werden, sind HTTP-basiert und durchlaufen daher die IIS-Prozesse auf dem Exchange-Server. MAPI/HTTP, Outlook Anywhere, Exchange Web Services, Exchange ActiveSync, REST, OWA & EAC, Offlineadressbuchdownloads und AutoErmittlung sind Beispiele für HTTP-basierte Protokolle, die von Exchange Server verwendet werden.

Windows Server 2016 und Windows Server 2012 R2

Das IIS-Team hat Funktionen zu Windows Server 2016 und Windows Server 2012 R2 hinzugefügt, um benutzerdefinierte Felder im Zusammenhang mit Verschlüsselungsprotokollversionen und Verschlüsselungsverfahren zu protokollieren. Es wird empfohlen, den Blog zu lesen, um zu erfahren, wie Sie diese benutzerdefinierten Felder aktivieren und mit der Analyse von Protokollen beginnen, um Informationen zu eingehenden Verbindungen in Ihrer Umgebung im Zusammenhang mit HTTP-basierten Protokollen zu finden.

Diese benutzerdefinierten IIS-Felder sind für Windows Server 2012 nicht vorhanden. Ihre Load Balancer- oder Firewallprotokolle können diese Informationen möglicherweise bereitstellen. Bitten Sie Ihre Anbieter um Anleitungen, um festzustellen, ob deren Protokolle diese Informationen enthalten können.

Nachrichtenkopfzeilen (Exchange Server 2016 oder höher)

Nachrichtenheaderdaten in Exchange Server 2016 stellen das protokoll bereit, das ausgehandelt und verwendet wird, wenn der sendende und empfangende Host eine E-Mail ausgetauscht hat. Sie können das Message Header Analyzer verwenden, um einen klaren Überblick über jeden Hop zu erhalten.

Hinweis

Es gibt eine bekannte Ausnahme für das Beispiel für Nachrichtenheader. Wenn ein Client eine Nachricht durch Herstellen einer Verbindung mit einem Server über authentifizierte SMTP (auch als SMTP-Clientübermittlungsprotokoll bezeichnet) sendet, zeigt die TLS-Version in den Nachrichtenheadern nicht die richtige TLS-Version an, die vom Client oder Gerät eines Kunden verwendet wird. Microsoft untersucht die Möglichkeit, diese Informationen in einem zukünftigen Update hinzuzufügen.

Nachrichtenfluss über SMTP-Protokollierung

SMTP-Protokolle in Exchange Server 2013 und höher enthalten das Verschlüsselungsprotokoll und andere verschlüsselungsbezogene Informationen, die während des E-Mail-Austauschs zwischen zwei Systemen verwendet werden.

Wenn der Server das SMTP-Empfangssystem ist, sind die folgenden Zeichenfolgen je nach verwendeter TLS-Version im Protokoll vorhanden:

  • TLS-protokoll SP_PROT_TLS1_0_SERVER
  • TLS-protokoll SP_PROT_TLS1_1_SERVER
  • TLS-protokoll SP_PROT_TLS1_2_SERVER

Wenn der Server das SMTP-sendesystem ist, sind die folgenden Zeichenfolgen im Protokoll vorhanden, je nach verwendeter TLS-Version:

  • TLS-Protokoll SP_PROT-TLS1_0_CLIENT
  • TLS-Protokoll SP_PROT-TLS1_1_CLIENT
  • TLS-protokoll SP_PROT-TLS1_2_CLIENT

Beispiel für die Suche nach Protokolldateien auf dem Computer, auf dem der Befehl ausgeführt wurde:

Select-String -Path (((Get-TransportService -Identity $env:COMPUTERNAME).ReceiveProtocolLogPath).PathName.Replace("Hub","FrontEnd")+"\*.log") "SP_PROT_TLS1_0"

POP & IMAP

Es ist keine Protokollierung vorhanden, die die Verschlüsselungsprotokollversion verfügbar macht, die für POP-IMAP-Clients & verwendet wird. Um diese Informationen zu erfassen, müssen Sie möglicherweise Netmon-Protokolle von Ihrem Server erfassen oder den Datenverkehr untersuchen, der durch Ihren Lastenausgleich oder ihre Firewall fließt, in der HTTPS-Bridging stattfindet.

Konfigurieren von TLS 1.0 und 1.1 oder Deaktivieren von TLS 1.1

Wichtig

Wenn Sie TLS 1.0 und TLS 1.1 aktiviert lassen möchten, fahren Sie mit den schritten fort, die im Abschnitt Konfigurieren von TLS 1.0 und 1.1 beschrieben sind, und überspringen Sie den Abschnitt Deaktivieren von TLS 1.0 und 1.1 . Wenn Sie TLS 1.0 und TLS 1.1 deaktivieren möchten, überspringen Sie den Abschnitt Konfigurieren von TLS 1.0 und 1.1 , und fahren Sie mit dem Abschnitt Deaktivieren von TLS 1.0 und 1.1 fort.

Konfigurieren von TLS 1.0 und 1.1

Aktivieren von TLS 1.0 und 1.1 in Schannel

Hinweis

Beim Konfigurieren eines Systems für die Verwendung von TLS 1.0 und TLS 1.1 können Sie die Schannel-Schlüssel gleichzeitig vornehmen und den Server einmal neu starten.

Ein Administrator muss die TLS 1.0- und TLS 1.1-Teile des Schannel-Registrierungsabschnitts ändern und die Protokolle aktivieren, anstatt sie zu deaktivieren.

Gehen Sie wie folgt vor, um TLS 1.0 für Server- (eingehende) und Clientverbindungen (ausgehend) auf einem Exchange Server zu aktivieren:

  1. Erstellen Sie in Notepad.exe eine Textdatei namens TLS10-Enable.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern von TLS10-Enable.reg
  4. Doppelklicken Sie auf die Datei TLS10-Enable.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Gehen Sie wie folgt vor, um TLS 1.1 für Server- (eingehende) und Clientverbindungen (ausgehend) auf einem Exchange Server zu aktivieren:

  1. Erstellen Sie in Notepad.exe eine Textdatei namens TLS11-Enable.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern von TLS11-Enable.reg
  4. Doppelklicken Sie auf die Datei TLS11-Enable.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Deaktivieren von TLS 1.0 und 1.1

Stellen Sie sicher, dass jede Anwendung TLS 1.2 unterstützt, bevor Sie TLS 1.0 und 1.1 deaktivieren. Überlegungen wie (aber nicht beschränkt auf):

  • Unterstützen Ihre Domänencontroller und globalen Katalogserver TLS 1.2?
  • Unterstützen Partneranwendungen (z. B. SharePoint, Lync, Skype for Business usw.) TLS 1.2?
  • Haben Sie ältere Windows 7-Desktops mit Outlook aktualisiert, um TLS 1.2 über WinHTTP zu unterstützen?
  • Unterstützen Ihre Lastenausgleichsmodule die Verwendung von TLS 1.2?
  • Unterstützen Ihre Desktop-, Mobil- und Browseranwendungen TLS 1.2?
  • Unterstützen Geräte wie Multifunktionsdrucker TLS 1.2?
  • Unterstützen Ihre drittanbieter- oder benutzerdefinierten internen Anwendungen, die in Exchange Server oder Office 356 integriert sind, TLS 1.2?

Daher wird dringend empfohlen, dass alle Schritte, die Sie für den Übergang zu TLS 1.2 und von älteren Sicherheitsprotokollen ausführen, zuerst in Labs ausgeführt werden, die Ihre Produktionsumgebungen simulieren, bevor Sie sie langsam in der Produktion einführen.

Die unten beschriebenen Schritte zum Deaktivieren von TLS 1.0 und 1.1 gelten für die folgenden Exchange-Funktionen:

  • Simple Mail Transport Protocol (SMTP)
  • Outlook-Clientkonnektivität (Outlook Anywhere/Mapi über HTTP)
  • Exchange Active Sync (EAS)
  • Outlook im Web (OWA)
  • Exchange Admin Center (EAC) und Exchange Systemsteuerung (ECP)
  • Autoermittlung
  • Exchange-Webdienste (Exchange Web Services, EWS)
  • REST (nur Exchange Server 2016)
  • Verwenden von PowerShell durch Exchange über HTTPS
  • POP und IMAP

Deaktivieren von TLS 1.0 und 1.1 in Schannel

Hinweis

Wenn Sie ein System nur für TLS 1.2 konfigurieren, können Sie die Schannel-Schlüssel gleichzeitig festlegen und den Server einmal neu starten.

Ein Administrator muss die Tls 1.0- und TLS 1.1-Teile des Schannel-Registrierungsabschnitts ändern und die Protokolle deaktivieren, anstatt sie zu aktivieren.

Führen Sie zum Deaktivieren von TLS 1.0 für Server- (eingehende) und Clientverbindungen (ausgehend) auf einem Exchange Server Folgendes aus:

  1. Erstellen Sie in Notepad.exe eine Textdatei namens TLS10-Disable.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern von TLS10-Disable.reg
  4. Doppelklicken Sie auf die Datei TLS10-Disable.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Gehen Sie wie folgt vor, um TLS 1.1 für Serververbindungen (eingehend) und Clientverbindungen (ausgehend) auf einem Exchange Server zu deaktivieren:

  1. Erstellen Sie in Notepad.exe eine Textdatei namens TLS11-Disable.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern von TLS11-Disable.reg
  4. Doppelklicken Sie auf die Datei TLS11-Disable.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verschlüsselungs- und Hashalgorithmen (nur Exchange Server 2016)

Wichtig

Die in diesem Abschnitt beschriebenen Schritte sind optional für die zuvor beschriebenen Schritte. Es ist erforderlich, TLS 1.2 zu konfigurieren und TLS 1.0 und 1.1 vollständig zu deaktivieren, bevor Sie die nächsten Schritte ausführen.

Erwägen Sie, diese Einstellungen separat anzuwenden, um TLS 1.0 & TLS 1.1 zu deaktivieren, um Konfigurationsprobleme mit problematischen Clients zu isolieren.

Konfigurieren des strikten Modus für client- und server-TLS-Neuverhandlung

Diese Einstellungen werden verwendet, um den Strict-Modus für die TLS-Neuverhandlung zu konfigurieren. Dies bedeutet, dass der Server nur clients, auf die dieses Sicherheitsupdate angewendet wird, tls-Sitzungen einrichten und neu aushandeln lässt. Der Server lässt nicht zu, dass die Clients, auf die dieses Sicherheitsupdate angewendet wird, die TLS-Sitzung nicht einrichten. In diesem Fall beendet der Server solche Anforderungen von den Clients.

Wenn dieses Sicherheitsupdate auf den Client angewendet wird und sich der Client im strict-Modus befindet, kann der Client TLS-Sitzungen mit allen Servern, für die dieses Sicherheitsupdate angewendet wird, einrichten und neu aushandeln. Die Clients können überhaupt keine TLS-Sitzungen mit Servern einrichten, auf die dieses Sicherheitsupdate nicht angewendet wird. Der Client kann mit einem TLS-Aushandlungsversuch mit solchen Servern nicht fortfahren.

  1. Erstellen Sie in Notepad.exe eine Textdatei namens ConfigureRenegotiation.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
    "AllowInsecureRenegoClients"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
    "AllowInsecureRenegoServers"=dword:00000000
    
  3. Speichern von ConfigureRenegotiation.reg
  4. Doppelklicken Sie auf die Datei ConfigureRenegotiation.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Konfigurieren von Verschlüsselungen

Es wird empfohlen, die folgenden Verschlüsselungen explizit zu deaktivieren, die veraltet sind und nicht mehr verwendet werden sollten.

  1. Erstellen Sie in Notepad.exe eine Textdatei namens DisableCiphers.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]
    "Enabled"=dword:00000000
    
  3. Speichern von DisableCiphers.reg
  4. Doppelklicken Sie auf die Datei DisableCiphers.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Konfigurieren von Hashes

Es wird empfohlen, die folgenden Hashes explizit zu deaktivieren, die veraltet sind und nicht mehr verwendet werden sollten.

  1. Erstellen Sie in Notepad.exe eine Textdatei namens DisableHashes.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
    "Enabled"=dword:00000000
    
  3. Speichern von DisableHashes.reg
  4. Doppelklicken Sie auf die Datei DisableHashes.reg .
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Konfigurieren von Verschlüsselungssammlungen auf Windows Server 2016

Es ist möglich, die Verschlüsselungssammlungen mithilfe eines Gruppenrichtlinie Object (GPO) zu konfigurieren. Wir können sie nicht manuell über Enable/Disable-TLSCipherSuite das Cmdlet konfigurieren, wenn sie bereits über GPO konfiguriert wurden. Sie können den folgenden PowerShell-Befehl verwenden, um zu überprüfen, ob Verschlüsselungssammlungen über GPO konfiguriert sind:

$cipherSuiteKeyPath = "HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002"  
if (((Get-ItemProperty $cipherSuiteKeyPath).Functions).Count -ge 1) {
	Write-Host "Cipher suites are configured by Group Policy" -Foregroundcolor Red
} else {
    Write-Host "No cipher suites are configured by Group Policy - you can continue with the next steps" -Foregroundcolor Green    
}

Das Konfigurieren von TLS 1.2-Verschlüsselungssammlungen auf Windows Server 2016 ist eine zweistufige Aufgabe. Die erste Aufgabe besteht darin, alle vorhandenen Verschlüsselungssammlungen zu deaktivieren. Dies kann über PowerShell erfolgen:

  1. Klicken Sie mit der rechten Maustaste auf PowerShell, und wählen Sie Als Administrator ausführen aus.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in das PowerShell-Fenster mit erhöhten Rechten ein.
    foreach ($suite in (Get-TLSCipherSuite).Name) {
        if (-not([string]::IsNullOrWhiteSpace($suite))) {
            Disable-TlsCipherSuite -Name $suite -ErrorAction SilentlyContinue
        }
    }
    
  3. Drücken Sie die EINGABETASTE , und warten Sie, bis die Ausführung abgeschlossen ist.

Die zweite Aufgabe besteht darin, nur die TLS 1.2-Verschlüsselungssammlungen zu aktivieren. Dies kann auch über PowerShell erfolgen:

  1. Klicken Sie mit der rechten Maustaste auf PowerShell, und wählen Sie Als Administrator ausführen aus.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in das PowerShell-Fenster mit erhöhten Rechten ein.
    $cipherSuites = @('TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384',
                    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256',
                    'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384',
                    'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256',
                    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384',
                    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256',
                    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384',
                    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256')
    
    $suiteCount = 0
    foreach ($suite in $cipherSuites) {
        Enable-TlsCipherSuite -Name $suite -Position $suiteCount
        $suiteCount++
    }
    
  3. Drücken Sie die EINGABETASTE , und warten Sie, bis die Ausführung abgeschlossen ist.
  4. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Konfigurieren von Verschlüsselungssammlungen auf Windows Server 2012 und Windows Server 2012 R2

  1. Erstellen Sie in Notepad.exe eine Textdatei namens CipherSuitesOrder.reg.
  2. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002]
    "Functions"="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256"
    
  3. Speichern von CipherSuitesOrder.reg
  4. Doppelklicken Sie auf CipherSuitesOrder.reg.
  5. Klicken Sie auf Ja , um Ihre Windows-Registrierung mit diesen Änderungen zu aktualisieren.
  6. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Konfigurieren von Verschlüsselungskurven (nur Windows Server 2016)

Auf Windows Server 2016 ist es erforderlich, die Einstellung der elliptischen Kurve zu konfigurieren. Dies kann mit einer PowerShell mit erhöhten Rechten erfolgen:

  1. Klicken Sie mit der rechten Maustaste auf PowerShell, und wählen Sie Als Administrator ausführen aus.
  2. Kopieren Sie die folgenden Befehle, fügen Sie sie in powerShell mit erhöhten Rechten ein, und führen Sie sie nacheinander aus.
    Disable-TlsEccCurve -Name "curve25519"
    Enable-TlsEccCurve -Name "NistP384" -Position 0
    Enable-TlsEccCurve -Name "NistP256" -Position 1
    
  3. Starten Sie den Computer neu, damit die Änderungen wirksam werden.