Azure AD Connect: Erzwingen von TLS 1.2

Azure AD Connect unterstützt die nachfolgenden Protokolle nicht mehr, da diese seit einiger Zeit als unsicher gelten.

TLS 1.0
TLS 1.1
3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Von der Deaktivierung der Protokolle können unter anderem die folgenden Services betroffen sein:

Azure AD Connect
Azure AD-PowerShell
Passthrough Authentication Agents (PTA)
Anwendungen mit Azure AD-Integration

Mit TLS 1.2 bleibt Azure AD Connect weiterhin lauffähig.

Azure AD Connect ab Version 2.0 setzt TLS 1.2 bereits voraus und ist von der Deaktivierung der veralteten Protokolle nicht betroffen.

Alle Versionen von Windows Server, die für Azure AD Connect V2.0 unterstützt werden, verwenden standardmäßig TLS 1.2. Wenn TLS 1.2 auf Ihrem Server nicht aktiviert ist, müssen Sie dieses Protokoll aktivieren, bevor Sie Azure AD Connect V2.0 bereitstellen können.
Azure AD Connect: TLS 1.2 enforcement for Azure Active Directory Connect | Microsoft Docs

Inhaltsverzeichnis verbergen

1 Azure AD Connect: Prüfen der vorhanden Installation

1.1 Software Version

1.2 Welche TLS Version verwendet Azure AD Connect?

2 TLS 1.2

2.1 Notwendige Registry Einträge prüfen

2.2 TLS 1.2 mit PowerShell erzwingen

Azure AD Connect: Prüfen der vorhanden Installation

Software Version

Die verwendete Version wird in MS365 Admin Center (https://admin.microsoft.com) unter Health > Directory sync status angezeigt:

Die aktuellste Version von Azure AD Connect kann unter folgenden Links heruntergeladen werden:

bis Windows Server 2012 R2:
Aktuellste Client Version 1.x
https://www.microsoft.com/en-us/download/details.aspx?id=103336

Ab Windows Server 2016
Aktuellste Client Version 2.x
https://www.microsoft.com/en-us/download/details.aspx?id=47594

Welche TLS Version verwendet Azure AD Connect?

Welche TLS Version verwendet die Azure AD Connect Installation nun wirklich für die Kommunikation?
Um dies herauszufinden, wird der Netzwerkverkehr ausgewertet. Mit einem Network Sniffer Tool wie z.B. Whireshark, wird die Kommunikation von Azure AD Connect aufgezeichnet und kann danach ausgewertet werden.

Es gibt viele Möglichkeiten, den Netzwerkverkehr aufzuzeichnen. Wir verwenden in unserem Beispiel die Möglichkeit der «Packet Caputre» Funktion von Fortigate und erstellen dafür den folgenden Filter:

config firewall sniffer
    edit 0
        set interface "&lt;Interface&gt;"
        set host "&lt;LAN-IP Azure AD Connect Server&gt;"
        set port "443"
        set protocol "6"
    next
end

config firewall sniffer

edit 0

set interface "<Interface>"

set host "<LAN-IP Azure AD Connect Server>"

set port "443"

set protocol "6"

end

Nun wird der Sniffer für die Aufzeichnung gestartet und mit PowerShell einen Azure AD Full Sync initiiert. Dadurch entfällt die Wartezeit bis zur nächsten regulären Synchronisation:

Start-ADSyncSyncCycle -PolicyType Initial

1	Start-ADSyncSyncCycle -PolicyType Initial

Die Netzwerkaufzeichnung wird nach der Azure AD Connect Synchronisation gestoppt und die Datei in Whireshark geöffnet.

Filter frame contains «microsoftonline.com» setzen
Azure AD Connect stellt für die Synchronisation eine Verbindung zu einer der folgenden Webadressen her (siehe (3) in Screenshot):
– https://login.microsoftonline.com
– https://adminwebservice.microsoftonline.com
Steht in der Spalte «Protocol» etwas anderes als «TLSv1.2», so kann mit den nachfolgenden Schritten weitergefahren werden.

Azure AD Connect - Whireshark show TLSv1.2 connection

TLS 1.2

Notwendige Registry Einträge prüfen

Das nachfolgende PowerShell Script prüft, ob die notwendigen Einträge in der Registry gesetzt sind. Dadurch wird die Kommunikation mit TLS 1.2 erzwungen.
(Quelle: microsoft.com)

Function Get-ADSyncToolsTls12RegValue
{
    &#091;CmdletBinding()]
    Param
    (
        # Registry Path
        &#091;Parameter(Mandatory=$true,
                   Position=0)]
        &#091;string]
        $RegPath,

        # Registry Name
        &#091;Parameter(Mandatory=$true,
                   Position=1)]
        &#091;string]
        $RegName
    )
    $regItem = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Ignore
    $output = "" | select Path,Name,Value
    $output.Path = $RegPath
    $output.Name = $RegName

    If ($regItem -eq $null)
    {
        $output.Value = "Not Found"
    }
    Else
    {
        $output.Value = $regItem.$RegName
    }
    $output
}

$regSettings = @()
$regKey = 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regSettings

Function Get-ADSyncToolsTls12RegValue

{

[CmdletBinding()]

Param

(

# Registry Path

[Parameter(Mandatory=$true,

Position=0)]

[string]

$RegPath,

# Registry Name

[Parameter(Mandatory=$true,

Position=1)]

[string]

$RegName

)

$regItem = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Ignore

$output = "" | select Path,Name,Value

$output.Path = $RegPath

$output.Name = $RegName

If ($regItem -eq $null)

{

$output.Value = "Not Found"

}

Else

{

$output.Value = $regItem.$RegName

}

$output

}

$regSettings = @()

$regKey = 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'

$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regSettings

Wenn die PowerShell Abfrage die folgenden Werte aus der Registry ausgibt, ist TLS 1.2 aktiviert und es benötigt keine weiteren Anpassungen mehr.

HKLM:\SOFTWARE\WOW6432Node\Microsoft.NETFramework\v4.0.30319
– SystemDefaultTlsVersions=1
– SchUseStrongCrypto=1

HKLM:\SOFTWARE\Microsoft.NETFramework\v4.0.30319
– SystemDefaultTlsVersions=1
– SchUseStrongCrypto=1

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
– Enabled=1
– DisabledByDefault=0

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
– Enabled=1
– DisabledByDefault=0

Zum Abschluss muss noch geprüft werden, dass Azure AD Connect tatsächlich TLS 1.2 verwendet: Welche TLS Version verwendet Azure AD Connect?

TLS 1.2 mit PowerShell erzwingen

Die notwendigen Einträge in der Registry werden mit nachfolgendem PowerShell Script erstellt.
(Quelle: microsoft.com)

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))

{

New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null

}

New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))

{

New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null

}

New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))

{

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null

}

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))

{

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null

}

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

Nach Ausführung des PowerShell Scripts muss der Server neu gestartet werden.

Zum Abschluss muss noch geprüft werden, dass Azure AD Connect tatsächlich TLS 1.2 verwendet: Welche TLS Version verwendet Azure AD Connect?

Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees für mich!

Azure AD Connect: Erzwingen von TLS 1.2

Azure AD Connect: Prüfen der vorhanden Installation

Software Version

Welche TLS Version verwendet Azure AD Connect?

TLS 1.2

Notwendige Registry Einträge prüfen

TLS 1.2 mit PowerShell erzwingen

Microsoft 365 Defender: Safe Attachments und Safe Links

App Password bei Multi-Faktor Authentifizierung