Alte Windows SSL/TLS Features deaktivieren

Enreach Info
Enreach Info
  • Aktualisiert
HINWEIS: Sollten Sie das hier vorhandene Script eingesetzt haben, setzen Sie sich bitte VOR einer Installation der SwyxWare 11.38 mit dem Support in Verbindung.

Zusammenfassung

Für die Unterstützung von Swyx Mobile für iOS/Android und Swyx Desktop für macOS benutzt SwyxWare eine REST-Schnittstelle. Diese ist HTTPS-basiert und nutzt die in Windows eingebaute Transport Layer Security (TLS) Implementierung.

Microsoft erlaubt Administratoren, die unterstützten TLS Protokolle und Chiffren einzuschränken, um die Sicherheit des Systems zu erhöhen. Dieser Artikel enthält Links zu Informationen von Microsoft über diese Einstellungen. Zusätzlich liefert dieser Artikel ein PowerShell-Script, was das Setzen der Einstellungen vereinfacht. 

Information

Für die Unterstützung von Swyx Mobile für iOS/Android und Swyx Desktop für macOS benutzt SwyxWare eine REST-Schnittstelle für die Authentisierung (Standardmäßig wird dafür Port 9101 benutzt). Um Swyx Mobile for iOS/Android und Swyx Desktop für macOS eine Verbindung zum SwyxServer via Remote Connector zu ermöglichen, muss diese Schnittstelle aus dem Internet erreichbar sein. SwyxWare unterstützt HTTPS auf dieser Schnittstelle. 

SwyxWare benutzt dafür keine eigene TLS Implementierung, sondern nutzt die in Windows eingebaute TLS-Funktionalität, die u.a. auch vom IIS verwendet wird. Microsoft bietet Konfigurationsoptionen, um die Verwendung von verschiedenen TLS Protokollversionen und -Chiffren zu unterbinden, um die Sicherheit zu erhöhen. Dieser Microsoft Support Artikel enthält Details, wie man diese Einschränkungen aktiviert:

https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings

Um ein einfacher zu machen, diese Einstellungen vorzunehmen, liefert dieser Artikel ein PowerShell-Script, welches man auf dem Windows Server mit Administrationsrechten ausführt.

HINWEIS: Diese Einstellungen betreffen nicht nur SwyxWare, sondern jede Software, die auf dem Server läuft und die in Windows eingebaute TLS Funktionalität benutzt. Wenn sie neben SwyxWare andere Software auf demselben System verwenden, stellen sie sicher, das diese Software weiterhin funktioniert, nachdem sie die TLS-Einstellungen angepasst haben.

 

HINWEIS: Wenn Sie SwyxWare so konfiguriert haben, das Voicemail und Willkommen-Emails via TLS verschickt werden, stellen sie sicher, das ihr Mailserver mit den eingeschränkten TLS-Einstellungen kompatibel ist.

 

Remote Connector 

Der Remote connector Tunnel zwischen Swyx Mobile und SwyxWare benutzt nicht die in Windows eingebaute TLS Funktion. Zudem nutzt Remote Connector ein sehr eingeschränkte Menge von TLS-Protokollen und Chiffren (TLS 1.2, Ephemeral Diffie Hellman key agreement, RSA authentication, AES 256). Die Tunnelverbindung wird zudem über client und server Zertifikate gesichert, die Benutzer- und SwyxWare Installationsspezifisch sind.  Diese Zertifikate werden von Swyx Mobile and Swyx Desktop für macOS client über das oben erwähnte REST-API via HTTPS heruntergeladen.

 

Empfehlungen

  • Wenden sie die TLS Einschränkungen an, wie Microsoft empfielt oder benutzen Sie das heir angehangene Script. 
  • Testen sie jede Software, die auf dem Server läuft und die von den Einstellungen betroffen sein könnte, um sicherzustellen, das diese weiterhin funktioniert.
  • Halten sie das Windows Betriebssystem aktuell 
    • Installieren Sie alle von Microsoft empfohlenen Windows updates
    • Folgen Sie Microsofts Sicherheitshinweisen
  • Halten Sie SwyxWare aktuell
    • Installieren Sie von Swyx bereitgestellte Updates.
  • Wenn möglich, installieren sie ein offizielles TLS Zertificat für das öffentliche REST API. Details zum Installieren eines solchen Zertifikats siehe hier.

 

War dieser Beitrag hilfreich?

0 von 0 fanden dies hilfreich

Haben Sie Fragen? Anfrage einreichen

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.