TLS Schannel Configurator

Der ISW TLS Schannel Configurator richtet sich an Windows-Administratoren, Managed Service Provider und Compliance-Verantwortliche, die die Schannel- und TLS-Konfiguration von Windows-Servern und -Workstations zentral, nachvollziehbar und auditierbar (auch GPO) an etablierten Standards ausrichten müssen. Das Tool ersetzt manuelle Registry-Bearbeitung, fehleranfällige PowerShell-Snippets aus Internet-Quellen und reine Skript-Sammlungen durch einen strukturierten Workflow mit Backup-Zwang, Verifikation und Roll-Back.

„TLS-Compliance. Sichtbar. Reversibel. Auditfest.“

Lizenzierung

Gute Software muss nicht teuer sein.

Einmalig 199,00 € (inkl. 19% MwSt.)

Standortlizenz ohne Benutzerbegrenzung
Keine Folgekosten, keine Abonnements
Kostenlose Updates innerhalb der Hauptversion

Produktinformation TLS-Schannel Configurator

FREE DOWNLOAD

Send download link to:

TLS Schannel Configurator mit Auditfunktion

Der TLS Schannel Configurator ist ein eigenständiges Werkzeug mit einem klaren Workflow:

auslesen, prüfen, anwenden und dokumentieren

Primäre Zielgruppe

Windows-Server-Administratoren in Domänen-Umgebungen (Active Directory, RDS, IIS, Exchange, SQL Server)
Managed Service Provider mit mehreren Kunden-Tenants und gemischten Server-Generationen
Sicherheitsbeauftragte und IT-Auditoren mit Nachweispflicht gegenüber BSI, ISO 27001, PCI-DSS, NIS-2 oder DSGVO
Penetration-Tester und Hardening-Spezialisten, die Schannel-Drift dokumentieren und beheben

Hauptmerkmale auf einen Blick

Der TLS Configurator ist ein eigenständiges WPF-Werkzeug auf Basis von .NET 10 mit einem klaren Workflow: auslesen, prüfen, anwenden, dokumentieren. Die folgenden Kernfunktionen kennzeichnen Version 2.0.

Profil	Quelle	Protokolle	Charakteristik
BSI TR-02102-2 (strict)	BSI	TLS 1.3	Strengste Variante, nur AEAD-Suites
BSI TR-02102-2 (kompatibel)	BSI	TLS 1.2 + 1.3	TLS 1.2-Fallback für Bestandssysteme
Mozilla SSL Modern	Mozilla	TLS 1.3	TLS 1.3 only, vergleichbar mit BSI strict
Mozilla SSL Intermediate	Mozilla	TLS 1.2 + 1.3	Breite Kompatibilität ab Win 7 SP1
PCI-DSS 4.0	PCI-DSS	TLS 1.2 + 1.3	Konservative ECDHE-only-Auswahl
NIST SP 800-52r2	NIST	TLS 1.2 + 1.3	FIPS-konform, aktiviert FIPS-Mode
ISW 2026 Produktion	ISW	TLS 1.2 + 1.3	Mit TLS_RSA-Last-Resort für Legacy-Clients

Was kann das Tool?

Hier eine Übersicht über die integrierten und primären Funktionen.

Kernfunktionen

Schannel-Inventarisierung: Vollständiges Auslesen aller relevanten Registry-Pfade – Protokolle (SSL 2.0 bis TLS 1.3 / DTLS), Cipher-Suiten-Order, ECC-Curve-Order, Legacy-Cipher und Hashes, Diffie-Hellman-Mindestschlüssellänge, FIPS-Algorithm-Policy. Erkennt automatisch GPO-Overrides und meldet sie.
Compliance-Bewertung: Differenzanalyse zwischen IST und SOLL inklusive Score (0 bis 100), Severity-Klassifizierung (Critical, High, Medium, Low, Info) und detaillierter Begründung pro Finding mit Verweis auf RFCs und CVEs.
Sichere Anwendung mit Roll-Back: Pflicht-Backup als native .reg-Datei vor jeder Änderung, strukturierter Restore-Punkt mit Snapshot pro Registry-Wert, Post-Write-Verifikation jedes geschriebenen Wertes durch sofortiges Wiedereinlesen.
Multi-Server-Rollout via WinRM: Bulk-Apply auf eine Auswahl von Hosts in einem Durchgang. HTTP/5985 oder HTTPS/5986, Domain- oder explizite Credentials, optionaler Skip-Cert-Check für Self-Signed-Hosts. Hosts und Verbindungsstatus werden persistent gespeichert.
Compliance-Reports: HTML- und PDF-Berichte im ISW-Corporate-Design mit Deckblatt, Zusammenfassung, Findings-Tabelle nach Severity sortiert und Begründungen. Optional direkter SMTP-Versand an einen vorkonfigurierten Empfänger.
GPO-Awareness: Erkennt automatisch, wenn die Cipher-Suite-Order oder ECC-Curve-Order durch Gruppenrichtlinien gesetzt ist, und warnt den Anwender, dass lokale Änderungen wirkungslos wären. Vermeidet „stillen“ Apply ohne Effekt.
Eigene Profile: Aus dem Tool exportierte oder per Hand erstellte JSON-Profile lassen sich neben den Werks-Profilen hinterlegen. Profile-Verzeichnis: %APPDATA%\ISW\TLS Configurator\profiles\.
Audit-Log pro Apply und Restore: Detaillierte Audit-Protokolle mit Zeitstempel, Anwender, betroffenem Host, ausgeführter RegistryAction und Erfolgsstatus. Standort: %APPDATA%\ISW\TLS Configurator\backups\.

Protokolle

Der Protokolle-Tab listet alle acht Schannel-Protokolle. Pro Protokoll werden Client- und Server-Status getrennt angezeigt, jeweils mit dem effektiven Status (aktiv / deaktiviert / Windows-Default) und den beiden zugrundeliegenden Registry-Werten Enabled und DisabledByDefault.

Cipher-Suiten

Der Cipher-Suiten-Tab zeigt die effektive Cipher-Suite-Order in der Reihenfolge, in der Schannel sie während des TLS-Handshakes anbietet. Oberhalb der Liste wird die Quelle der Order angegeben: “Lokal” bei einem regulären Wert unter HKLM\SYSTEM\…\Local\SSL\00010002, “GPO” bei einem Wert unter HKLM\SOFTWARE\Policies\Microsoft\Cryptography (was Vorrang vor dem lokalen Pfad hat) oder “Schannel-Default” wenn keine der beiden Pfade einen Wert trägt.

ECC-Curves

Der ECC-Curves-Tab ist strukturell identisch zum Cipher-Suiten-Tab, behandelt aber die ECC-Curve-Order (Value-Name “EccCurves” im gleichen 00010002-Schlüssel). Die BSI-Empfehlung lautet curve25519, NistP384, NistP256, NistP521 in dieser Reihenfolge. NIST SP 800-52r2 schließt curve25519 aus, da diese Kurve nicht FIPS-140-3-approved ist, und beginnt mit NistP384.

Legacy und FIPS

Der Legacy-Tab konzentriert sich auf alles, was aus Sicherheitssicht heute aus sein sollte: NULL-Cipher (keine Verschlüsselung), DES (gebrochen seit 1999), 3DES (SWEET32-Angriff CVE-2016-2183), die RC4-Familie (RFC 7465 verbietet RC4), RC2 (Export-Grade, gebrochen), MD5 (kollidierend seit Wang 2004) und SHA-1 (kollidierend seit SHAttered 2017).

Zusätzlich enthält der Tab den Status der FIPS-Algorithm-Policy. Diese systemweite Richtlinie zwingt alle FIPS-konformen Anwendungen, ausschließlich FIPS-140-validierte Algorithmen zu verwenden. Sie ist nur dann zu aktivieren, wenn die Compliance-Anforderung dies konkret verlangt – ASP.NET-Anwendungen, alte .NET-Frameworks und Java-Anwendungen können brechen, wenn sie nicht-FIPS-konforme Algorithmen verwenden.

Profile

Der Profile-Tab listet alle verfügbaren Profile – die sieben mitgelieferten Werks-Profile aus Data\SchannelProfiles.json plus alle benutzerdefinierten Profile aus dem Ordner %APPDATA%\ISW\TLS Configurator\profiles\. Pro Profil werden Name, Quelle (BSI, NIST, PCI-DSS, Mozilla, ISW), Beschreibung und etwaige Vor-Apply-Warnungen angezeigt. Zwei Buttons pro Eintrag erlauben das direkte Prüfen oder Anwenden.

Multi-Server

Der Multi-Server-Tab ist der Kern der Remote-Verwaltung. Dort werden alle bekannten Remote-Hosts mit Verbindungsdetails (Adresse, Schema, Port, Authentifizierungsart, Zertifikatsprüfung) gelistet. Die Aktionsleiste bietet:

Hinzufügen / Bearbeiten / Löschen einzelner Hosts
Verbindungstest für alle markierten Hosts (parallel, mit Statusrückmeldung pro Host)
Lesen der Schannel-Konfiguration eines markierten Hosts (Tool wechselt in den Remote-Modus)
Bulk-Apply: Profil auswählen und auf alle markierten Hosts anwenden
Bulk-Restore: Restore-Punkt für einen markierten Host auswählen und zurückspielen
Verbindung trennen – das Tool kehrt in den lokalen Modus zurück

Compliance

Der Compliance-Tab zeigt das Ergebnis der letzten Prüfung. Im Kopfbereich stehen Profil-Name, Prüfzeitpunkt und der Score als große Zahl. Darunter werden die Findings in Gruppen nach Severity aufgelistet: Critical, High, Medium, Low, Info. Jedes Finding zeigt Subject, Ist-Wert, Soll-Wert und Begründung. Per Klick öffnet sich ein Detail-Dialog mit der zugrundeliegenden Registry-Aktion (Pfad, Wert-Name, neuer DWORD oder MultiString-Inhalt) – so kann der Anwender vor dem Apply genau prüfen, was geschrieben werden soll.

Teil der ISW-Tools Suite von IT-Service Walter

TLS Schannel Configurator – „Was das BSI fordert, halten wir ein.”