TLS 1.0/1.1-Abschaltung: Schannel Event-Logging zum Monitoring aktivieren

Windows[English]Microsoft plant die bisher standardmäßig im Schannel-Protokoll noch verwendeten Verschlüsselungsmethoden TLS 1.0 und 1.1 bald abzuschalten (beginnt im September 2023 mit Windows 11 Insider Builds). Daher ein kurzer Hinweis für Administratoren in Unternehmensumgebungen: Es könnte hilfreich sein, das Schannel Event-Logging zum Monitoring aktivieren. Sofern nicht bekannt, Microsoft hat einen eigenen Support-Beitrag zu diesem Thema veröffentlicht.


Anzeige

Schannel Event-Logging zum Monitoring aktivieren

Ich bin die Tage auf Twitter über den nachfolgenden Post von Thorsten auf das Thema aufmerksam geworden. Microsoft hat das Ganze bereits im März 2022 im Supportbeitrag Enable Schannel event logging in Windows and Windows Server dokumentiert.

Schannel Event-Logging

Dort heißt es: Wenn Sie die Schannel-Ereignisprotokollierung auf einem Computer aktivieren, auf dem eine der im Abschnitt "Gilt für" dieses Artikels aufgeführten Windows-Versionen ausgeführt wird, können detaillierte Informationen aus Schannel-Ereignissen in die Protokolle der Ereignisanzeige, insbesondere in das Systemereignisprotokoll, geschrieben werden. Dieser Artikel beschreibt, wie Sie die Schannel-Ereignisprotokollierung aktivieren und konfigurieren.

Das Ganze soll für Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 gelten, aber ich gehe davon aus, dass es auch Windows 11 und Windows Server 2022 umfasst. Zum Aktivieren des Logging ist in folgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

der 32-Bit-DWORD-Wert EventLogging einzutragen. Dann lassen sich dem neuen Eintrag EventLogging  folgende Werte zuweisen:

  • 0x0000: Do not log
  • 0x0001: Log error messages
  • 0x0002: Log warnings
  • 0x0003: Log warnings and error messages
  • 0x0004: Log informational and success events
  • 0x0005: Log informational, success events and error messages
  • 0x0006: Log informational, success events and warnings
  • 0x0007: Log informational, success events, warnings, and error messages (all log levels)

Microsoft weist im Artikel darauf hin, dass die Manipulation der Registrierung auf eigenes Risiko erfolgt – aber das sollte für erfahrene Administratoren kein Problem darstellen. Die Frage, warum man das Event-Logging für Schannel vielleicht aktivieren sollte, ergibt sich indirekt aus dem Blog-Beitrag Windows: Microsoft will TLS 1.0 und 1.1 bald standardmäßig im Schannel-Protokoll deaktivieren. Über die Ereignisanzeige lässt sich erkennen, ob es bei einer Abschaltung von TLS 1.0/1.1 (kann ebenfalls per Tool oder über die Registrierung erfolgen) Probleme mit Anwendungen geben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows, Windows Server abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu TLS 1.0/1.1-Abschaltung: Schannel Event-Logging zum Monitoring aktivieren

  1. Hermann Jägle sagt:

    Hallo Günter,
    die Möglichkeit die TSL Verbindungen zu protokollieren gibt es, wie im dem Artikel beschrieben. Und es ist besser als nichts. Leider musste ich feststellen, dass der Inhalt "entäuschend" ist, weil zu der Quellen keinerlei Angaben mitgeschrieben werden. Hier mal ein Beispiel Log:

    A TLS server handshake completed successfully. The negotiated cryptographic parameters are as follows.

    Protocol version: TLS 1.0
    CipherSuite: 0x35
    Exchange strength: 4096 bits
    Context handle: 0x25481944a60
    Target name:
    Local certificate subject name: xxxxx
    Remote certificate subject name:

    Also ich habe dann meine Investigation noch mit einer Wireshark-Analyse auf dem Zielsystem ergänzt, um die Quellen, die altes TLS sprechen, herauszufinden.

    VG, hermann

    • R.S. sagt:

      Stimmt.
      Der Inhalt des Loggings ist enttäuschend und größtenteils unbrauchbar, weil die Angabe der Quelle, die noch TLS 1 oder 1.1 spricht, schlicht fehlt.
      Also lokal der Prozess und übers Netzwerk, von welchem Rechner das kommt.

      Das macht es unnötig schwer, herauszufinden, was noch TLS 1.0 oder 1.1 verwendet.

  2. Larsen sagt:

    Mit welchen IDs würde die Events geloggt werden? Habe dazu leider nichts finden können.

    • Bent sagt:

      Wir härten seit geraumer Zeit all unsere Systeme indem wir u.a. alle TLS/SSL-Protokolle < TLS 1.2 deaktivieren.
      Wenn es zu Fehlern gekommen ist, wurde immer 36871 im Eventlog protokolliert.
      Das Event ist meiner Meinung nach ein sehr verlässlicher Indikator dafür, dass es Probleme bei der verschlüsselten Kommunikation gibt.

    • Hermann Jägle sagt:

      Event ID 36880 im System Log, Provider ist Schannel
      VG

  3. Thomas sagt:

    >> kann ebenfalls per Tool oder über die Registrierung erfolgen)
    Mit welchem Tool?

  4. Anonymous sagt:

    IIS Crypto ist okey
    VG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.