blog.icewolf.ch

Let's talk about IT!
posts - 1334, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Improving SSL Security on TMG 2010

Hallo zusammen,

Kürzlich habe ich meinen voll gepatchten TMG 2010 welcher auf Windows 2008 R2 läuft mit dem Online SSL Test geprüft. Das Resultat war ziemlich ernüchternd.

https://www.ssllabs.com/ssltest/

Dann habe ich die Tipps von isaserver.org umgesetzt.

SSL 2.0 deaktivieren mit dem folgenden Registry Key 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

SSL Renegotiation anpassen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"AllowInsecureRenegoClients"=dword:00000000
"DisableRenegoOnServer"=dword:00000001

TLS 1.1 und TLS 1.2 aktivieren

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

Nach dem Reboot des TMG Servers habe ich den Test nochmals durchgeführt. Ich würde sagen, es sieht schon viel besser aus!

Grüsse
Andres Bohren

Print | posted on Thursday, March 13, 2014 10:41 PM | Filed Under [ Security ]

Powered by:
Powered By Subtext Powered By ASP.NET