Ich verwende eine MEMCM-Tasksequenz, um Server mit Windows Server 2019 zu erstellen. Bisher habe ich 22 Server mit diesem Betriebssystem erstellt. Am Ende von OSD stehen mir auf 20 davon nur 10 Verschlüsselungssammlungen zur Verfügung.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
Auf den beiden Servern mit mehr Cipher Suites stehen mir folgende 31 Cipher Suites zur Verfügung.
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
TLS_PSK_WITH_AES_256_GCM_SHA384
TLS_PSK_WITH_AES_128_GCM_SHA256
TLS_PSK_WITH_AES_256_CBC_SHA384
TLS_PSK_WITH_AES_128_CBC_SHA256
TLS_PSK_WITH_NULL_SHA384
TLS_PSK_WITH_NULL_SHA256
Auf den Servern mit dem begrenzten Satz an Verschlüsselungssammlungen habe ich die erforderlichen Registrierungsschlüssel hinzugefügt, um TLS 1.2 zu aktivieren, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2und einen Neustart durchgeführt, aber es passiert immer noch nichts mehr. Und auf den Servern mit den 31 Verschlüsselungssammlungen weiß ich nicht, was geändert wurde, damit sie verfügbar sind. Ich habe auch Enable-TlsCipherSuite -Name XXXerfolglos versucht, sie zu verwenden. Schließlich werden die Server mit den Updates vom August 2020 aktualisiert.
Irgendeine Idee, warum Chiffren fehlen und wie ich sie hinzufügen kann?
Antwort1
TLS 1.2 ist standardmäßig aktiviert.
Der Registrierungsschlüssel für Chiffren lautet:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
Antwort2
Blöder Grund. Es gab eine alte Gruppenrichtlinie, die die Chiffrenliste auf diese 10 Chiffren beschränkte. rsopSie zeigte nichts, aber gpresult /hdas, was ich brauchte. :)
Antwort3
Sie können einfach IIS Crypto verwenden. Verwenden Sie dieses Tool zum Aktivieren, Deaktivieren von Cipher Suites und zum Ändern ihrer Reihenfolge.https://www.nartac.com/Products/IISCrypto/Download