[English]Microsoft plant die bisher standardmäßig im Schannel-Protokoll noch verwendeten Verschlüsselungsmethoden TLS 1.0 und 1.1 bald abzuschalten (beginnt im September 2023 mit Windows 11 Insider Builds). Daher ein kurzer Hinweis für Administratoren in Unternehmensumgebungen: Es könnte hilfreich sein, das Schannel Event-Logging zum Monitoring aktivieren. Sofern nicht bekannt, Microsoft hat einen eigenen Support-Beitrag zu diesem Thema veröffentlicht.
Anzeige
Schannel Event-Logging zum Monitoring aktivieren
Ich bin die Tage auf Twitter über den nachfolgenden Post von Thorsten auf das Thema aufmerksam geworden. Microsoft hat das Ganze bereits im März 2022 im Supportbeitrag Enable Schannel event logging in Windows and Windows Server dokumentiert.
Dort heißt es: Wenn Sie die Schannel-Ereignisprotokollierung auf einem Computer aktivieren, auf dem eine der im Abschnitt "Gilt für" dieses Artikels aufgeführten Windows-Versionen ausgeführt wird, können detaillierte Informationen aus Schannel-Ereignissen in die Protokolle der Ereignisanzeige, insbesondere in das Systemereignisprotokoll, geschrieben werden. Dieser Artikel beschreibt, wie Sie die Schannel-Ereignisprotokollierung aktivieren und konfigurieren.
Das Ganze soll für Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 gelten, aber ich gehe davon aus, dass es auch Windows 11 und Windows Server 2022 umfasst. Zum Aktivieren des Logging ist in folgendem Registrierungsschlüssel:
Anzeige
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
der 32-Bit-DWORD-Wert EventLogging einzutragen. Dann lassen sich dem neuen Eintrag EventLogging folgende Werte zuweisen:
- 0x0000: Do not log
- 0x0001: Log error messages
- 0x0002: Log warnings
- 0x0003: Log warnings and error messages
- 0x0004: Log informational and success events
- 0x0005: Log informational, success events and error messages
- 0x0006: Log informational, success events and warnings
- 0x0007: Log informational, success events, warnings, and error messages (all log levels)
Microsoft weist im Artikel darauf hin, dass die Manipulation der Registrierung auf eigenes Risiko erfolgt – aber das sollte für erfahrene Administratoren kein Problem darstellen. Die Frage, warum man das Event-Logging für Schannel vielleicht aktivieren sollte, ergibt sich indirekt aus dem Blog-Beitrag Windows: Microsoft will TLS 1.0 und 1.1 bald standardmäßig im Schannel-Protokoll deaktivieren. Über die Ereignisanzeige lässt sich erkennen, ob es bei einer Abschaltung von TLS 1.0/1.1 (kann ebenfalls per Tool oder über die Registrierung erfolgen) Probleme mit Anwendungen geben.
Anzeige
Hallo Günter,
die Möglichkeit die TSL Verbindungen zu protokollieren gibt es, wie im dem Artikel beschrieben. Und es ist besser als nichts. Leider musste ich feststellen, dass der Inhalt "entäuschend" ist, weil zu der Quellen keinerlei Angaben mitgeschrieben werden. Hier mal ein Beispiel Log:
—
A TLS server handshake completed successfully. The negotiated cryptographic parameters are as follows.
Protocol version: TLS 1.0
CipherSuite: 0x35
Exchange strength: 4096 bits
Context handle: 0x25481944a60
Target name:
Local certificate subject name: xxxxx
Remote certificate subject name:
—
Also ich habe dann meine Investigation noch mit einer Wireshark-Analyse auf dem Zielsystem ergänzt, um die Quellen, die altes TLS sprechen, herauszufinden.
VG, hermann
Stimmt.
Der Inhalt des Loggings ist enttäuschend und größtenteils unbrauchbar, weil die Angabe der Quelle, die noch TLS 1 oder 1.1 spricht, schlicht fehlt.
Also lokal der Prozess und übers Netzwerk, von welchem Rechner das kommt.
Das macht es unnötig schwer, herauszufinden, was noch TLS 1.0 oder 1.1 verwendet.
Mit welchen IDs würde die Events geloggt werden? Habe dazu leider nichts finden können.
Wir härten seit geraumer Zeit all unsere Systeme indem wir u.a. alle TLS/SSL-Protokolle < TLS 1.2 deaktivieren.
Wenn es zu Fehlern gekommen ist, wurde immer 36871 im Eventlog protokolliert.
Das Event ist meiner Meinung nach ein sehr verlässlicher Indikator dafür, dass es Probleme bei der verschlüsselten Kommunikation gibt.
Event ID 36880 im System Log, Provider ist Schannel
VG
>> kann ebenfalls per Tool oder über die Registrierung erfolgen)
Mit welchem Tool?
Nartac IIS Crypto hilft nicht? Hatte ich im Hinterkopf, als ich den Satz schrieb.
Weiß ich nicht. Habe noch keine Erfahrungen damit. Probiere ich aber aus. Vielen Dank
Wir haben wegen dem nicht brauchbaren Log ohne Quelle einfach mal angefangen über die Deaktivierung des Protokolls erst am Client dann Server die TLS Versionen abzuschalten. Da von den wichtigsten Systemen eine OU Testgruppe vorhanden gewesen ist, war der Aufwand überschaubar.
Verwendet haben wir dafür das Custom ADMX Template für die Übersicht. Die Settings sind die gleichen wie im MS Artikel: https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs
https://github.com/Crosse/SchannelGroupPolicy/tree/master
https://admx.help/?Category=Schannel&Policy=JMU.Policies.Schannel::TLSv10
IIS Crypto ist okey
VG