In IIS 7 (und 7.5) müssen zwei Dinge getan werden:
-
Navigieren Sie zu: Start> 'gpedit.msc'> Computerkonfiguration> Admin-Vorlagen> Netzwerk> SSL-Konfigurationseinstellungen> Reihenfolge der SSL-Verschlüsselungssuite (zum Öffnen im rechten Bereich doppelklicken). Dort kopieren und fügen Sie den folgenden (Einträge durch ein Komma voneinander getrennt sind, stellen Sie sicher, dass es keine Zeilenumbrüche):
TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_RC4_128_MD5, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE _DSS_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
-
Führen Sie die folgenden Powershell-Befehle als Administrator (copy-paste in den Editor, speichern als ‚fix-Tier-in- iis.ps1 'und mit erhöhten Berechtigungen ausführen):
#make TSL 1.2-Protokollreg. Keysmd "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2" md "HKLM : \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protokolle \ TLS 1.2 \ Server "md" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protokolle \ TLS 1.2 \ Client "# TLS 1.2 für Client- und Server-SCHANNEL aktivieren Kommunikation
new-itemproperty-path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server" -name "Enabled" -Wert 1 -PropertyType "DWord" new-itemproperty-path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server "-Name" DisabledByDefault "-Wert 0 -PropertyType" DWord "new-itemproperty -path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNELS \ Protokolle \ SCHANNEL \ 1.2 \ Client "-Name" Aktiviert "-Wert 1 -PropertyType" DWord "new-itemproperty -path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client "-Name" DisabledByDefault "-Wert 0 -PropertyType "DWord" # Erstellen und Aktivieren von TLS 1.1 für Client und Server SCHANNEL-Kommunikation md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1" md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server "md" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Prot ocols \ TLS 1.1 \ Client "new-itemproperty-path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server "-name" Enabled "-Wert 1 -PropertyType" DWord "new-itemproperty - Pfad "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server" -Name "DisabledByDefault" -Wert 0 -PropertyType "DWord" new-itemproperty -path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Client "-Name" Enabled "-Wert 1 -PropertyType" DWord "new-itemproperty -path" HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Client " -name "DisabledByDefault" -Wert 0 -PropertyType "DWord" # SSL 2.0 deaktivieren (PCI-Konformität) md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server" new-itemproperty -path "HKLM : \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server "-Name Aktiviert -Wert 0 -PropertyType" DWord "
ol> Sobald Sie das Skript ausgeführt haben, können Sie 'regedit' ausführen und sicherstellen, dass die Schlüssel im Skript tatsächlich korrekt erstellt wurden. Starten Sie dann neu, damit die Änderung wirksam wird.
WARNUNG: Beachten Sie, dass ich SSL 3.0 nicht deaktiviert habe. Der Grund dafür liegt in der Tatsache, dass es immer noch Leute gibt, ob es Ihnen gefällt oder nicht Verwenden von Windows XP mit IE 6/7. Ohne SSL 3.0 gäbe es kein Protokoll, auf das diese Personen zurückgreifen könnten. Während Sie bei einem Qualys SSL Labs-Scan möglicherweise immer noch keine perfekte Leistung erzielen, sollten Sie die meisten Löcher schließen, indem Sie die vorherigen Schritte ausführen. Wenn Sie absolute PCI-Konformität wünschen, können Sie die Zeilen aus dem Abschnitt SSL 2.0 deaktivieren des Powershell-Skripts kopieren, am Ende des Skripts einfügen und wie folgt ändern:
# Deaktivieren SSL 3.0 (PCI-Konformität) md "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 3.0 \ Server" new-itemproperty-path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 3.0 \ Server "-Name Aktiviert -Wert 0 -PropertyType" DWord "
Wenn Sie das Skript ausführen, deaktivieren Sie SSL 2.0, SSL 3.0 und aktivieren TLS 1.1 und 1.2.