Deaktivieren von PCT 1.0, SSL 2.0, SSL 3.0 oder TLS 1.0 in Internet Information Services


Wir empfehlen allen Benutzern dringend ein Update auf die Version 7.0 von Microsoft-Internetinformationsdienste (IIS) unter Microsoft Windows Server 2008. IIS 7.0 verbessert die Sicherheit der Web-Infrastruktur erheblich. Weitere Informationen zu sicherheitsrelevanten Themen im Zusammenhang mit IIS finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:

Zusammenfassung


Mit dem Protokoll HTTPS können Sie Verbindungen zu folgenden Zielen herstellen:
  • Microsoft Internet Information Server (IIS) Version 3.0 und höher
  • Microsoft Internet Information Services (IIS) 5.0 und höher
Hierbei handeln der Client und der Server ein gemeinsames Protokoll aus, um zu gewährleisten, dass die Verbindung über einen sicheren Kanal erfolgt. Verfügen der Server und der Client über mehrere gemeinsame Protokolle, versucht IIS den Kanal mithilfe eines der von IIS unterstützten Protokolle abzusichern. Bei der Wahl des von IIS verwendeten Protokolls wird nach der folgenden Reihenfolge vorgegangen:
  1. PCT 1.0
  2. SSL 3.0
  3. SSL 2.0
In gewissen Fällen möchten Sie vielleicht eines oder mehrere dieser Protokolle deaktivieren. Sie können dies über eine Änderung in der Registrierung tun.

Hinweis PCT 1.0 ist keine konfigurierbare Option in Windows Server 2008 und Sie müssen den Server nicht neu starten.

Weitere Informationen


Microsoft Windows NT Server speichert Informationen über die verschiedenen unterstützten Protokolle für Kanäle mit erhöhter Sicherheit. Diese Informationen werden im folgenden Registrierungsschlüssel gespeichert:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

Dieser Schlüssel beinhaltet normalerweise die folgenden Unterschlüssel:
  • PCT 1.0
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
In jedem Schlüssel sind Informationen über das Protokoll für den Schlüssel enthalten. Jedes einzelne Protokoll kann auf dem Server deaktiviert werden. Erstellen Sie dazu einen neuen DWORD-Wert im Server-Unterschlüssel des Protokolls. Legen Sie den DWORD-Wert auf „00 00 00 00“ fest.


Hinweis PCT ist unter Microsoft Windows Server 2003 nicht standardmäßig aktiviert.


Lösung 


Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Informationen hierzu finden Sie unter dem Online-Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungseditor. Weitere Hinweise entnehmen Sie den Hilfethemen "Hinzufügen und Entfernen von Informationen in der Registrierung" und "Bearbeiten von Registrierungsinformationen" im Registrierungseditor.
Gehen Sie folgendermaßen vor, um das PCT 1.0-Protokoll zu deaktivieren und damit zu verhindern, dass IIS Verbindungen über das PCT 1.0-Protokolls aushandeln kann:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedt32 oder regedit ein und klicken Sie dann auf OK.
  2. Gehen Sie im Registrierungs-Editor zum folgenden Schlüssel:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  4. Klicken Sie in der Liste Datentyp auf DWORD.
  5. Geben Sie im Feld Wertname Aktiviert ein und klicken Sie auf OK.


    Hinweis Wenn dieser Wert vorhanden ist, doppelklicken Sie auf den Wert, um seinen aktuellen Wert zu bearbeiten.
  6. Geben Sie im Binär-Editor 00000000 ein, um den Wert des neuen Schlüssels auf „0“ zu setzen.
  7. Klicken Sie auf OK. Starten Sie den Computer neu.

Informationsquellen


Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

245030 Einschränkung der Verwendung bestimmter kryptografischer Algorithmen und Protokolle in Schannel.dll