TLS Schannel Configurator

ISW TLS Configurator v2.0

Security

IT-Service Walter

ISW · IT-Service Walter

ISW TLS Configurator v2.0

Schannel-Compliance per Klick – BSI TR-02102-2, NIST, PCI-DSS, Mozilla.
Für Administratoren und MSPs, die ihre Server-Pools endlich sauber dokumentieren wollen.

Wer eine größere Windows-Flotte betreut, kennt das Problem: Schannel-Konfigurationen sind über Jahre gewachsen, ein Server hat noch TLS 1.0 aktiv, ein anderer SSL 3.0 in der Registry, ein dritter eine Cipher-Suite-Order aus dem Jahr 2018. Eine BSI- oder ISO-27001-Prüfung steht an – und Du sollst für 30 Server in einer Woche dokumentieren, wer wann was kann.

Genau dafür habe ich den ISW TLS Configurator entwickelt: ein WPF-Werkzeug, das die Schannel-Konfiguration lokal und per WinRM remote auslesen, gegen anerkannte Standards prüfen, automatisch ein .reg-Backup plus strukturierten Restore-Punkt ziehen, das Soll-Profil schreiben und einen prüffähigen PDF-Report erzeugen kann – alles mit Audit-Trail, der vor jeder Revision standhält.

Was das Tool leistet

Sieben eingebaute Compliance-Profile
BSI TR-02102-2 (Strict + Compat), NIST SP 800-52r2, PCI-DSS 4.0, Mozilla Modern, Mozilla Intermediate, ISW 2026 Produktion. Alle nach den jeweiligen Originalstandards aufgebaut. Eigene Profile als JSON ergänzbar.
Multi-Server-Rollout via WinRM
Hostliste pflegen (HTTP 5985 / HTTPS 5986, Kerberos oder explizite Credentials, optional Zertifikatsprüfung überspringen für selbstsignierte Zertifikate), markieren, in einem Wartungsfenster auf BSI-Strict heben – mit Pflicht-Backup auf jedem Ziel und lokalem Audit-Log pro Host.
HTML- und PDF-Reports
A4-druckbar, Titelseite, Inhaltsverzeichnis, Findings nach Schwere gruppiert, vollständiger Konfigurations-Dump. Optional per SMTP versendet – mit Test-Mail-Button vor dem Speichern der Einstellungen.
CLI-Modus für Automatisierung
Argumente wie --audit, --apply, --report, --target machen das Tool tauglich für Scheduled Tasks, CI-Pipelines und Massen-Rollouts. Exit-Code 3 bei Compliance-Verstoß.
Drei-Artefakte-Audit-Trail nach BSI-Prüfer-Geschmack
Jeder Apply erzeugt drei zusammengehörende Dateien: ein vollständiges .reg-Backup, ein zeilenbasiertes Apply-Audit-Log und einen strukturierten JSON-Restore-Punkt. Der Restore-Punkt kann beim Wiederherstellen auch Werte sauber entfernen, die das Tool beim Apply neu angelegt hat – das schafft ein klassisches reg import nicht. Reicht so für ISO-27001-Audits.
Wiederherstellen per Klick – lokal und remote
Der Wiederherstellen-Dialog zeigt alle Restore-Punkte chronologisch – Auswahl, Bestätigung, fertig. Für Remote-Hosts liegt der Restore-Punkt immer lokal auf der Admin-Workstation, damit der Audit-Trail auch dann zugänglich bleibt, wenn der Server unerreichbar wird.

Workflow in der Praxis

Der typische Ablauf für einen einzelnen Host:

  1. Auslesen – das Tool zieht alle Schannel-Werte aus der Registry und füllt die Tabs Protokolle, Cipher-Suites, ECC-Curves, Legacy & FIPS.
  2. Profil prüfen – z.B. BSI-Strict auswählen, das Tool berechnet einen Score (0-100) und listet alle Abweichungen als farbige Karten mit Kategorie, Schwere und der konkret geplanten Änderung.
  3. Findings im Detail – Doppelklick auf eine Karte öffnet den IST/SOLL-Vergleich mit Registry-Pfad, DWORD-Wert und Begründung. Reicht für die Diskussion mit dem Compliance-Team.
  4. Profil anwenden – Pflicht-Backup wird gezogen, parallel ein JSON-Restore-Punkt erzeugt, dann werden die Änderungen sequenziell geschrieben. Audit-Log entsteht parallel.
  5. Report erzeugen – HTML und PDF in einem Schritt, optional per Mail an die Compliance-Adresse.
  6. Reboot – Schannel übernimmt Änderungen erst nach Neustart vollständig.

Für einen Server-Pool nutzt Du den Multi-Server-Tab: Hosts einmal anlegen (FQDN, HTTP/HTTPS, Kerberos oder explizite Credentials), markieren, Profil auf markierte anwenden klicken. Das Tool verbindet sich nacheinander, zieht auf jedem Ziel ein eigenes Backup, wendet das Profil an und schreibt den Restore-Punkt plus Audit-Log lokal auf der Admin-Workstation. Am Ende eine Tabelle mit OK / PART / FAIL je Server. Sollte ein Rollout zurückgenommen werden müssen, genügt ein Klick auf Wiederherstellen… – der Dialog filtert automatisch auf die Restore-Punkte für den jeweiligen Host.

Vor dem Rollout: Kompatibilität prüfen
BSI-Strict deaktiviert TLS 1.0, 1.1 UND 1.2 – nur TLS 1.3 bleibt. Das bricht alle Pre-1.3-Clients (Windows 7, Server 2008 R2, ältere Java- und .NET-Anwendungen). TLS 1.3 ist auf Windows Server 2019 nicht verfügbar (erst Server 2022 / Build 20348) – BSI-Strict auf Server 2019 macht den Server über TLS de facto unerreichbar. Für Bestandsumgebungen ist das BSI-Compat- oder das ISW-2026-Produktion-Profil die richtige Wahl. Vor jedem Rollout: Test-Host, Anwendungs-Inventar prüfen (Event-ID 4624 mit LogonType 10 zeigt aktive RDP-Clients), iLO/iDRAC-Zugang absichern.

Für welche Compliance-Rahmen

Rahmen Was das Tool dazu liefert
BSI IT-Grundschutz / TR-02102-2 Mitgeliefertes Strict- und Compat-Profil mit BSI-konformer Cipher-Suite-Order und ECC-Curve-Reihenfolge (curve25519, NistP384, NistP256, NistP521).
ISO 27001 (A.13, A.18) Audit-Logs mit User, Zeitstempel, Soll/Ist, Backup-Pfad und JSON-Restore-Punkt – reicht als Nachweis für kryptographische Kontrollen und Change-Management.
PCI-DSS 4.0 (Req. 4.2.1) Eigenes Profil mit konservativer ECDHE-only-Auswahl (PCI selbst listet keine Cipher-Suiten, verweist auf NIST SP 800-57). TLS 1.0/1.1 hart abgeschaltet, keine RC4/3DES-Fallbacks, kein static RSA, kein DHE_RSA.
NIS2 (Art. 21) Dokumentierter, regelmäßig wiederholbarer Compliance-Check über CLI plus PDF-Reports als Nachweis über den State of Encryption.
DSGVO (Art. 32) Stand der Technik bei Schannel/TLS dokumentierbar je Host und Stichtag.

CLI-Beispiel

Für den Scheduled-Task-typischen Use-Case – nächtlicher Compliance-Audit auf einen Domain-Controller mit Versand des PDF-Reports an den Compliance-Postkasten:

"C:\Tools\ISW\TLS Configurator\TLS Configurator.exe" `
  --report bsi-tr-02102-2-strict `
  --target dc01.firma.de `
  --format pdf `
  --out "\\fileserver\audit$\tls\dc01" `
  --mail audit@firma.de

Exit-Code 0 = alles OK, 3 = Critical oder High gefunden – der Task kündigt das in Eventlog-Eintrag der Aufgabenplanung an.

Verfügbarkeit und Lizenz

Der ISW TLS Configurator wird wie alle ISW-Tools als Einmal-Lizenz pro Installation verkauft – keine Subscriptions, keine Cloud-Anbindung, keine Rückkanal-Telemetrie. Für MSP-Lizenzen mit Bulk-Konditionen melde Dich direkt bei info@it-service-walter.com.

Weitere ISW-Tools auf isw-adtools.de, technische Artikel zum Tool auf der-windows-papst.de.

© IT-Service Walter · Euskirchen · it-service-walter.com