[English]Zum 17. Oktober 2022 hat Microsoft ja verschiedene außerplanmäßige Updates für Windows freigegeben. Diese Updates beheben ein Verbindungsproblem, welches bei SSL- und TLS-Verbindungen auftreten kann. Betroffen von diesem Problem sind wohl alle Windows Client- und Server. Nachfolgend habe ich mal alle verfügbaren Updates aufgelistet und gebe auch einige Hinweise, wo ohne diese Updates Probleme auftreten.
Anzeige
Sonderupdates mit TLS-Fix
Microsoft ist bei den letzten Updates für Windows (Preview-Updates vom September, Sicherheitsupdates vom Oktober) ein Fehler passiert. In dessen Folge kann es zu diversen Problemen mit SSL- und TLS-Verbindungen kommen. Microsoft hat daher zum 17. Oktober 2022 einige außerplanmäßige Updates veröffentlicht, um das Problem zu beheben.
Ich hatte im Blog-Beitrag Sonderupdates für Windows fixen SSL-/TLS-Verbindungsproblem (auch bei Citrix) – 17. Oktober 2022 berichtet. Allerdings hatte Microsoft nicht alle Updates in seinen Statusseiten verlinkt (danke an EP für den Hinweis mit den Links), so dass ich nachfolgend die Liste der Updates für die betroffenen Windows-Versionen nochmals zusammenfasse:
- KB5020387: Windows 11 21H2
- KB5020435: Windows 10 22H2
- KB5020435: Windows 10 20H2 – 21H2
- KB5020438: Windows 10 Enterprise 2019 LTSC, Windows Server 2019
- KB5020436: Windows Server 2022
- KB5020439: Windows 10 1607 (LTSC) und Windows Server 2016
- KB5020440: Windows 10 1507 (LTSC)
- KB5020447: Windows 8.1, Windows Server 2012 R2
- KB5020449: Windows Server 2012
- KB5020448: Windows 7 SP1, Windows Server 2008 R2
Die Sonderupdates KB5020439 und KB5020440 wurden am 18. Oktober nachgereicht. Die deutschsprachigen Supportbeiträge sind von Microsoft noch nicht alle aktualisiert – ändert das /de/ in der URL in /en-us/, um den englischsprachigen Beitrag abzurufen.
Diese Sonderupdates stehen nur im Microsoft Update Catalog zum Download bereit und müssen manuell installiert werden (einfach nach den KB-Nummern suchen lassen). Details zu diesen Updates lassen sich den verlinkten KB-Artikeln entnehmen.
Anzeige
Damit fehlt nur noch bei Windows 11 22H2 das entsprechende Korrektur-Update. EP schreibt hier, das dieser Fix mit dem kommenden Update KB5018496 nachgereicht werde. Dieses ist aktuell im Windows Insider-Programm als Vorab-Version im Release Preview-Kanal freigegeben (siehe).
Mit den Updates behobene Probleme
Es wurde in Kommentaren gefragt, welche Anwendungen durch die TLS-Bugs eigentlich betroffen seien. Ich habe keine komplette Liste, möchte nachfolgend aber einige Hinweise geben, was mir als Fix unter die Augen gekommen ist. Danke an die Blog-Leser für die Hinweise.
Citrix-Verbindungsproblem
Mit den Oktober 2022-Updates stellten Administratoren fest, dass Citrix-Clients nicht mehr mit den Citrix-Netscalern kommunizieren konnten. Ich hatte im Blog-Beitrag Citrix-Verbindungen nach Windows-Update KB5018410 (Oktober 2022) gestört (TLS-Problem) darüber berichtet. Betroffene, die die obigen Sonderupdates installiert haben, berichteten, dass das Verbindungsproblem damit behoben sei.
KB5020387 fixt TLS 1.3-Problem bei Windows 10
Unter Windows gab es auch das Problem, dass dort die TLS 1.3-Implementierung bei Windows 10 fehlerhaft war (nur in Windows 11 funktioniert es). Ich hatte im Blog-Beitrag Bug: Outlook stellt keine Verbindung mehr zum E-Mail-Server her (Oktober 2022) einen Konfliktfall angesprochen. Microsoft schlug als Workaround vor, TLS 1.3 per Registry-Eingriff zu deaktivieren. In diesem Kommentar schlägt jemand vor, die Updates KB5018410 (Windows 10) und KB5018427 (Windows 11) zu deinstallieren.
Inzwischen hat sich im englischsprachigen Blog ein Benutzer Harvester gemeldet. Zuerst fragte er, ob TLS 1.3 mit Windows 10 nach Installation der Sonderupdates funktioniere, um dann die Ergebnisse eigener Tests als Kommentar nachzuschieben.
Self-reply after tests : Schannel is working properly after having applied KB5020387 on a LTSC 2021 IoT Enterprise image (21H2), where Schannel was previously broken (on build 19044.2130, from October 11 2022)
We initially guessed that the IoT Enterprise SKU wasn't supporting TLS 1.3, but now we confirmed that we hit the bug mentioned in the post.
"Fun" fact : while it as initially reported that TLS 1.3 was available starting from Windows 10 1903, the Schannel documentation was changed recently, and now state that only Windows 11 and Server 2022 support TLS 1.3: Protocols in TLS/SSL (Schannel SSP)
Also auch hier wird bestätigt, dass das TLS 1.3-Problem mit den Sonderupdates behoben sei.
VPN und WebEx Meetings App
In diesem Kommentar berichtet Blog-Leser Marten, dass WebEx Meetings App über VPN keine Verbindung mehr zum WebEx Server (OnPrem) herstellen konnten. Das Problem ist per Update behoben worden.
Quest Migration Manager for Exchange
Auf Twitter hat sich enno0815de in nachfolgendem Tweet gemeldet, der sich auf meine Meldung zu den Sonderupdates bezieht. Wer eine Domain Migration mit dem Quest Migration Manager for Exchange plant, sollte die Updates auch installieren. Andernfalls wird der Accout für die Migration ausgesperrt.
In einem Folgetweet ergänzt er: Durch irgendeinem Umstand wird die Atelia Klasse (Quest Komponente) aus der Registry geworfen. Ohne den TLS-Fix sperrt man den benutzen User komplett aus der AD aus.
Die hier berichteten Probleme mit Cisco WAC und Windows Server scheinen nicht behoben zu sein.
Ähnliche Artikel:
Windows 10: Achtung vor einem möglichen TLS-Desaster zum Oktober 2022-Patchday
Citrix-Verbindungen nach Windows-Update KB5018410 (Oktober 2022) gestört (TLS-Problem)
Bug: Outlook stellt keine Verbindung mehr zum E-Mail-Server her (Oktober 2022)
Sonderupdates für Windows fixen SSL-/TLS-Verbindungsproblem (auch bei Citrix) – 17. Oktober 2022
Anzeige
Hallo, nachdem Oktober Update fährt mein Computer immer runter und startet von alleine neu. Es ist egal ob ich eine Internet Seite aufrufe oder nur den Laptop an habe. Es kommt dann der blaue Bildschirm mit der Fehlermeldung, dass aufgrund diverser Fehler ein Neustart erfolgt. Ich habe jetzt versucht die Updates für die Fehlerbehebung zu installieren, aber das gelingt mir nicht, da ich auch hier immer wieder dabei unterbrochen werde, da der Neustart von alleine immer wieder erfolgt (auch im abgesicherten Modus). Wie kann ich denn das Update installieren, wenn der vorhandene Fehler es unmöglich macht??? Ich bin echt ratlos!
Du hast ein Blue Screen-Problem, welches diese Neustarts auslöst. Schau in die Ereignisanzeige rein – da sollte der Fehlercode des BSOD eingetragen sein. Damit rechercherst Du, was die Ursache ist. Das wird sich eher nicht "per Update" beheben lassen – die Ursache muss behoben werden.
Danke für deine Antwort! Ich komme ja nicht soweit da reinzuschauen, da der Laptop nach einigen Sekunden gleich wieder runterfährt. Er fährt hoch und wieder runter nach diesem Oktober Update. Ich kann in der Zeit nichts machen. Daher bin ich ratlos wie ich das begeben soll?!
drei mal booten – dann müsste die Windows PE-Umgebung mit den Reparaturoptionen kommen. Dann kann man den Neustart im abgesicherten Modus deaktivieren, so dass der BSOD stehen bleibt. Sonst auf Werksauslieferungszustand zurück gehen und schrittweise testen – möglicherweise ein Treiber oder eine Software (Antivirus), die das auslösen. Ist hier im Blog schwierig, Vorgehensweisen zu skizzieren – da zu aufwändig und langwierig – und wir hier Off Topic werden. Ggf. bei Microsoft Answers nachfragen.
Löst auch dieses Problem:
https://learn.microsoft.com/en-us/answers/questions/1048009/smtp-outlook-2019-sends-wrong-tls-cipher-list.html
Hi Leute,
Bei einem meiner User, ohne AD und WSUS in seinem HO im Ausland, hat sich die Verbindung zw. Outlook365 und Ex verabschiedet. Gab mit einem Schlag 0x8000000, was seitens MS mit Problem mit TLS usw. benannt ist. Als Lösung habe ich 5020435 probiert. Das "alte" Update war zwar weg, aber die Verbindung gelang trotzdem nicht…
Letzlich habe ich in HKLM..Internet Setting WinHttp mit DefaultSecureProtocols angelegt und auf 80 (hex) gesetzt. Damit tut es wieder.
Die Updates unserer Client im AD stehen noch als nicht freigegeben. Sowohl September als auch Oktober. Lasse ich das 5018410 weg und gebe gleich 5020435 frei?
Macht alles keinen Spass mehr. 🙈
VG, Steffen
War Mitte 08/22 zuletzt auf der Kiste, wegen Zertwechsel. Da funktioniert die Verbindung noch ohne Murren.
Wir sind in der gleichen Situation. 5018410 noch nicht freigegeben. Habe die gleiche Frage: 5018410 weiterhin nicht freigeben und direkt 5020435 importieren und freigeben?
Hallo Steffen,
wie ist der komplette Registry-Pfad, den du hier angedeutet hast?
Ich würde diesen Lösungsversuch auch gern probieren.
Freundliche Grüße
Gordan
Ich habe Probleme mit FortiClient VPN (ein SSL-VPN) und SSTP beobachtet.
Wir haben ebenfalls Probleme mit den FortiClient und SSL, per IPsec funktioniert es.
Dies hängt wahrscheinlich mit den letzten MS-Updates zusammen. Die bei uns immer noch zu Netzwerkaussetzern führen, trotz der Installation aller von MS verfügbaren Updates. Auch die Neuinstallation von mehreren PC's brachte keine Besserung.
Kann es sein, dass sich die PC's/Server nicht auf eine gemeinsame Verschlüsselung einigen können und es deshalb lange dauert, bis die PC's eine Netzwerkverbindung haben, bzw. diese ab und zu abbricht?
Was ist denn jetzt mit TLS und Remoteapps unter Windows Server 2016 ?