SCHANNEL Einstellungen des Azure Windows Marketplace image geändert
Vor ein paar Wochen habe ich bemerkt, dass das Azure Marketplace Image für Windows 2016 Server zusätzliche Registry Einstellungen erhalten hat. Diese Einstellungen unterscheiden sich von einem manuell installierten und aktualisierten Windows 2016 Server!
Diese neuen Registryschlüssel deaktivieren die folgenden Ciphers und Protokolle:
- Ciphers
- RC4 128/128
- RC4 40/128
- RC4 56/128
- Protokolle
- SSL 2.0 Client
- SSL 3.0 Client/Server
Vorab: Diese neuen Einstellung betreffen veraltete Cipher Suites und Protkolle und sollten in jeder gehärteten Umgebung schon seit Jahren deaktiviert sein. Ein Teil der Einstellungen ist sogar obsolet, da Sie nur die Standardeinstellungen von Windows 2016 abbilden.
Mit der Veröffentlichung von Windows Server 2016 hat MIcrosoft alle Änderungen an SCHANNEL in folgendem Artikel dokumentiert “TLS (Schannel SSP) changes in Windows 10 and Windows Server 2016”. Hier wird z.B. darauf hingewiesen das NULL, MD5, DES und export Cipher deaktiviert wurden.
Außerdem beschreibt der Artikel das SSL 2.0 komplett entfernt und SSL 3.0 im Standard für Client- und Serververbindungen deaktiviert wurde. Die Registry Einstellung für die Protokolle sind somit überflüssig und wurde wahrscheinlich nur für ein schlecht konfiguriertes Audit Tool oder zum besseren Verständnis hinzugefügt.
2013 wurde von Microsoft das “Security Advisory 2868725” veröffentlich, in dem darauf hingewiesen wird, das RC4 cipher deaktiviert werden sollten. Nach ~ 5 - 6 Jahren hat Microsoft diese Best Practice nun auch für neue VMs auf Azure umgesetzt. Leider wurde es nirgends dokumentiert.
Zu beachten ist außerdem, dass diese Änderung nicht Windows Server 2016 Installationen von einem ISO betreffen, selbst wenn alle Sicherheitspatches installiert wurden. RC4 wird auf diesen Maschinen, ohne manuell Eingriff oder dem Einsatz von SCH_USE_STRONG_CRYPTO, weiterhin aktiviert sein. Mehr zu den TLS Cipher Suites in Windows 2016 findet man hier.