• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

TLS 1.3 und Windows Server 2019

M

mabu

Well-known member
Registriert
19 Dezember 2019
Beiträge
332
Reaktionspunkte
21
Hallo.

Ich habe am Freitag das Powershell-Skript zur Härtung eines Windows-Servers (https://www.nospamproxy.de/de/bsz/) auf unserer GW-Rolle eingesetzt. Damit werden ja ältere und nicht mehr sichere Protokolle, Cipher Suites, usw deaktiviert. Dabei wird aber auch TLS 1.3 aktiviert.

Im Nachgang ist mir aufgefallen, dass Windows Server 2019 TLS 1.3 gar nicht unterstützt. Aber anscheinend lassen sich die Reg-Keys setzen und die haben evtl. sogar Nebenwirkungen. Zumindest liest sich das in diesem Artikel hier so https://ingoboettcher.wordpress.com...tls-1-3-unter-windows-server-2019-aktivieren/ (der ist aber von 2021 und es scheint auch weiterhin keinen TLS 1.3 Support unter Server 2019 zu geben).

Ein SSL-Check von extern zeigt, dass TLS 1.3 nicht aktiviert ist.

Wollte das hier nur mitteilen. Bin mit dem NSP-Support in Kontakt, da ich noch klären möchte, was ich aus dem Powershell-Skript bezogen auf Windows Server 2019 nun doch besser wieder zurücknehmen sollte von erfolgten Einstellungen.

Hat jemand praktische Erfahrungen mit dem Aktivieren von TLS 1.3 auf einem Windows Server 2019? Also gab es tatsächlich Nebenwirkungen?

IIS Crypto zeigt in der Auswahl TLS 1.3 gar nicht erst an.
 
mabu schrieb:
Hat jemand praktische Erfahrungen mit dem Aktivieren von TLS 1.3 auf einem Windows Server 2019?
Zum Vergrößern anklicken....
nein, weil es kein TLS1.3 für Server 2019 gibt ^^ Verstehe auch gar nicht wie der Typ auf die Idee kommt, reg keys zu setzen und dann zu hoffen das das klappen könnte

Selbst bei einem inplace upgrade von 2019 auf 2022 bekommt man kein TLS1.3 (ich würde auch meine Hand dafür ins Feuer legen, dass das niemals kommen wird)

aber hey...er hat ja die Lösung gefunden (manchmal hilft das)

Das Klatschen der Hand auf die Stirn wird spätestens jetzt mit einem deutlich hörbaren Stöhnen untermalt…
Zum Vergrößern anklicken....
 
Heißt, dass alles, was im Powershell-Skript für TLS 1.3 auf dem Server ausgeführt worden ist, dann so bleiben kann? Technisch kann es der Server ja sowieso nicht.

Die Reg-Keys weiter oben im Skript für 1.3 sind mir klar. Die kann ich in der Registry ja wieder entfernen. Es gibt aber noch den Abschnitt "# Set secure protocol to to TLS 1.3".

Habe hier noch nicht geprüft, wie das nun in der Registry auf dem Server aussieht. Es sieht ja ansonsten auch alles okay aus.

Sören schrieb:
Selbst bei einem inplace upgrade von 2019 auf 2022 bekommt man kein TLS1.3 (ich würde auch meine Hand dafür ins Feuer legen, dass das niemals kommen wird)
Zum Vergrößern anklicken....
Bedeutet, dass auf jeden Fall als GW-Rolle ein neuer Server installiert werden muss, wenn ich das richtig lese. Hatte tatsächlich "Inplace" in diesem Fall im Hinterkopf. Auch, wenn wir das bisher noch nie genutzt haben.
 
Ob die Reg Keys Probleme unter Windows Server 2019 verursachen kann ich dir so leider nicht sagen. Ggf. wäre ein bereinigen der sauberere Weg.
Du könntest die IF-Condition einmal bei dir im System prüfen um zu schauen ob das überhaupt ausgeführt wurde.
Ansonsten könntest du aber auch das zurück rollen.


Ja du solltest eine komplette Neuinstallation machen um TLS1.3 nutzen zu können ;)


Vlt ist das auch die beste Variante, jetzt wo dein System ein bisschen "verbaselt" ist.
 
Moin,
Sören schrieb:
Selbst bei einem inplace upgrade von 2019 auf 2022 bekommt man kein TLS1.3 (ich würde auch meine Hand dafür ins Feuer legen, dass das niemals kommen wird)
Zum Vergrößern anklicken....
kann ich so nicht unterschreiben. Sobald die beiden Cipher Suites für TLS 1.3 aktiviert worden sind, kann auch TLS 1.3 aktiviert werden. Die Frage ist eher, warum Microsoft nach einen Inplace Upgrade die beiden CS standardmäßig deaktiviert sind...


Gruß,
Daniel
 
869288141 schrieb:
kann ich so nicht unterschreiben. Sobald die beiden Cipher Suites für TLS 1.3 aktiviert worden sind, kann auch TLS 1.3 aktiviert werden. Die Frage ist eher, warum Microsoft nach einen Inplace Upgrade die beiden CS standardmäßig deaktiviert sind...
Zum Vergrößern anklicken....
ui...das wäre mir neu, ich hab das mehrfach schon vor zwei Jahren getestet und da ging es nicht... nur um auf Nummer sich zu gehen: Welche Reg Keys hast du gesetzt?
 
Hallo Sören,
Microsoft unterstützt meines Wissens nach bei Windows Server 2022 nur bei den Cipher Suites TLS_AES_128_GCM_SHA256 und TLS_AES_256_GCM_SHA384 auch entsprechend TLS 1.3.
Code: 
Enable-TlsCipherSuite TLS_AES_128_GCM_SHA256
Enable-TlsCipherSuite TLS_AES_256_GCM_SHA384

Danach die notwendigen Schlüssel für TLS 1.3 Client und/oder Server hinzufügen:
Code: 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:ffffffff

Neustart des Servers nicht vergessen. Ein Test mit OpenSSL zeigt die Nutzung von TLS 1.3.
1729936949080.png

Gruß,
Daniel
 
869288141 schrieb:
Danach die notwendigen Schlüssel für TLS 1.3 Client und/oder Server hinzufügen:
Zum Vergrößern anklicken....
Moin Daniel,

also bei mir so:

1730016705284.png


Ich hab das hier gemacht:

1730017404262.png
Plus die Reg Keys und natürlich einen reboot.

Allerdings habe ich dann im IIS Crypto gesehen, dass die doch noch nicht aktiv sind... hab sie dann dort aktiviert und nun ist alles fein:

1730017615438.png

Das ja mal wieder komplett schräg :/

Ich danke dir Daniel!
 
Zuletzt bearbeitet:
Hallo Sören,
Das ja mal wieder komplett schräg :/
Zum Vergrößern anklicken....
Microsoft Style...

Allerdings habe ich dann im IIS Crypto gesehen, dass die doch noch nicht aktiv sind... hab sie dann dort aktiviert und nun ist alles fein:
Zum Vergrößern anklicken....
Möchtest du einmal einen Dump der Registy vor und nach der Änderung machen? So das du einen Diff erzeugen kannst. Da würde mich interessieren, welcher Registry Schlüssel zusätzlich noch gesetzt wurde, damit das bei dir funktioniert. Weil bei uns läuft das ohne IIS Crypto.


Gruß,
Daniel
 
869288141 schrieb:
Möchtest du einmal einen Dump der Registy vor und nach der Änderung machen?
Zum Vergrößern anklicken....
zu spät ^^

Aber in meinem Zoo an VM´s sollte noch die eine oder andere Büchse sein, wo ich das mal die Tage testen kann...

War auf jeden super hilfreich von dir! Die Frage nach TLS1.3 kommt doch sehr häufig und viele gehen nun mal den Weg und machen ein inplace. Mein produktives System, mit dem es nun auch funktioniert, hat den wilden Ritt von 2012R2 nach 2016 über 2019 bis 2022 hinter sich :D Ich bin halt maximal faul ^^
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

M
Gelöst Nur nach BSI und SOGIS sichere Algorithmen erlauben - Verständnisfrage
Antworten
4
Aufrufe
257
mabu
M
Sören
Gelöst Umfrage: Windows Server per Hardware Token absichern
Antworten
5
Aufrufe
653
Sören
Sören
Sören
  • Artikel Artikel
Zugriff auf einen Windows Server per SSH und Yubikey
Antworten
0
Aufrufe
351
Sören
Sören
M
SQL-Express von 2012 auf 2019 - über Backup
Antworten
4
Aufrufe
3K
mwgbr
M
M
DANE - Verständnisfrage
Antworten
1
Aufrufe
5K
SBW
S
Zurück
Oben