Gruppenrichtlinie zum Deaktivieren von SSL 3.0 und TLS 1.0 (ADM und ADMX)

Das Konfigurieren von SCHANNEL Einstellungen für beispielsweise SSL 3.0 und TLS 1.0 ist unter Windows mittels Registry möglich. Bei einer größeren Anzahl von Servern oder Rechnern eignen sich zur Konfiguration allerdings Gruppenrichtlinien besser, ich habe daher entsprechende Vorlagen erstellt, die die Einstellungen an der Registry vornehmen.

Vorwort

Die Gruppenrichtlinien nehmen Änderungen an der Registry auf allen Computern/Servern vor, die die Richtlinie anwenden. Da es hier je nach Umgebung zu Problemen kommen kann, müssen entsprechende Einstellungen sorgsam getestet werden.

Die Änderungen an der Registry durch die GPO bleiben auch nach dem Löschen der GPO bestehen und werden nicht auf die Standardeinstellung zurück geändert. Vorher also ausgiebig testen!

Falls es zu Problemen kommt, liegen dem Download die Standard Registry Werte für Windows Server 2012 R2 und Windows Server 2008 R2 bei. Die .REG Dateien können mit der Registry zusammengeführt werden, um die Standard Einstellungen wiederherzustellen.

Download

Die Vorlagen für die Gruppenrichtlinien können hier runtergeladen werden:

Anbei das HowTo für die Erstellung von entsprechenden Gruppenrichtlinien.

Gruppenrichtlinie auf Basis eines ADM-Templates (ALT)

Die klassischen ADM-Templates haben den Vorteil, dass Sie auch mit Windows Server 2003 und Windows XP noch funktionieren. Auch wenn Windows 2003 und Windows XP nicht mehr supported werden, können mit dem ADM Template Einstellungen vorgenommen werden. Hier ist allerdings Vorsicht geboten, da nicht alle Einstellungen von Windows Server 2003 und Windows XP unterstützt werden. Ausführliche Tests sind sehr ratsam. ADM Templates funktionieren auch mit Windows Server 2012 (R2).

Damit das ADM Template eingebunden werden kann, muss zuerst eine neue Gruppenrichtlinie in der Gruppenrichtlinienverwaltung erzeugt werden:

image

Ein sprechender Name für die zukünftigen Einstellungen ist ratsam:

image

Nachdem die Gruppenrichtlinie erzeugt wurde, wird sie bearbeitet:

image

Unter dem Punkt „Computerkonfiguration“ / „Administrative Vorlagen“ kann mittels Rechtsklick eine Vorlage hinzugefügt werden:

image

Im folgenden Dialog wird nun die ADM Datei angegeben:

image

Nach dem Laden des ADM Templates sind neue Unterpunkte mit den jeweiligen Einstellungen sichtbar:

image

In diesem Beispiel wird SSL 3.0 für Server (IIS-Webserver) und Clients (Internet Explorer) abgeschaltet. Wie bei den meisten Richtlinien muss auch hier genau gelesen werden: Die Einstellung „SSL 3.0 abschalten“ muss aktiviert werden, um SSL 3.0 zu deaktivieren:

image

Der Editor kann geschlossen werden. Damit die Richtlinien etwas schneller geladen werden, sollte in der Gruppenrichtlinienverwaltung noch die „Benutzerkonfigurationseinstellungen“ deaktiviert werden:

image

Zum Schluss noch die neue Gruppenrichtlinie mit einer entsprechenden OU verknüpfen.

image

Richtlinie auswählen und mit OK bestätigen

image

Die neue Gruppenrichtlinie ist fertig

image

Um ein Anwenden der neuen GPU auf einem Testrechner zu erzwingen, kann der folgende Befehl benutzt werden:

gpoupdate /force /target:computer

image

Zur Kontrolle kann die Registry überprüft werden, ob die entsprechende Einstellung gesetzt wurde:

image

Zum Schluss muss der Rechner neugestartet werden.

Gruppenrichtlinie auf Basis eines ADMX Templates (NEU)

Die modernere Variante von ADM-Templates sind ADMX-Templates. ADMX Templates funktionieren ab Windows Server 2008.

Um das ADMX-Template einzubinden, wird die Datei SSL_TLS_Settings.admx aus dem ZIP-Archiv in den Ordner C:\Windows\PolicyDefinitions kopiert. Die Datei SSL_TLS_Settings.adml aus dem Unterordner de-DE wird nach C:\Windows\PolicyDefinitions\de-DE kopiert:

image

Jetzt kann eine neue Gruppenrichtlinie erzeugt werden:

image

Die Gruppenrichtlinie wird nach dem Anlegen bearbeitet:

image

Die SCHANNEL Einstellungen finden sich jetzt in der Computerkonfiguration –> Administrative Vorlagen –> SCHANNEL Einstellungen:

Gruppenrichtlinie

Nachdem die entsprechenden Einstellungen vorgenommen wurden, ist der Rest wieder identisch mit ADM-Vorlagen (Benutzerkonfigurationseinstellungen deaktivieren, Richtlinie verknüpfen etc.)

2 Kommentare zu “Gruppenrichtlinie zum Deaktivieren von SSL 3.0 und TLS 1.0 (ADM und ADMX)”

  1. Hi Frank,

    ich habe dein ADMX File importiert und die Werte gesetzt… allerdings funktioniert bei mir die Umsetzung auf den Windows Server 2008 R2 nicht. Zuvor hatte ich TLS 1.1 / 1.2 manuell eingerichtet über die Registry und es funktionierte einwandfrei. Mit der Richtlinie wollte ich es jetzt etwas komfortabler gestalten. Jedoch klappt das nicht. Jeweils unter TLS 1.1 / TLS 1.2 Client / Server fehlt jetzt der DWORD- Eintrag „DisabledByDefault“. „Enabled“ ist allerdings erfolgreich gesetzt.

    Liegt es an einer falschen Einstellung in der GPO oder ist ggf. das ADMX File nicht korrekt?

    Vielen Dank,
    André

  2. Hallo Frank,

    ich habe vermutlich auch noch einen Fehler gefunden und zwar muss es bei den Protokollnamen u.A. heißen:
    „Multi-Protocol Unified Hello“ im *.adm-file steht allerdings „MultiProtocol Unified Hello“ also ohne den Bindestrich zwischen Multi und Protocol.
    Server ist in meinem Fall ein 2008R2 bzw. SBS2011

    Gruß
    Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.