{"id":273743,"date":"2022-10-11T15:44:39","date_gmt":"2022-10-11T13:44:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273743"},"modified":"2024-01-24T11:41:25","modified_gmt":"2024-01-24T10:41:25","slug":"windows-10-achtung-vor-einem-mglichen-tls-desaster-zum-oktober-2022-patchday","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/11\/windows-10-achtung-vor-einem-mglichen-tls-desaster-zum-oktober-2022-patchday\/","title":{"rendered":"Windows 10: Achtung vor einem möglichen TLS-Desaster zum Oktober 2022-Patchday"},"content":{"rendered":"

\"Windows\"[English<\/a>]Am 11. Oktober 2022 ist Patchday bei Microsoft, und auch Windows 10 wird sein monatliches Sicherheitsupdate erhalten. Vorsorglich mache ich auf ein Thema aufmerksam, was m\u00f6glicherweise in einigen Stunden unter Windows 10 20H2 bis 21H2 f\u00fcr \u00c4rger sorgen k\u00f6nnte: Microsoft deaktiviert mit dem Sicherheitsupdate f\u00fcr diese Windows 10-Versionen voraussichtlich TLS 1.0 und 1.1. Andererseits sieht es so aus, als ob die TLS 1.3-Implementierung unter Windows 10 Probleme bereitet. Es k\u00f6nnte also bei Remote Desktop-Anwendungen und allen Anwendungen, die auf TLS 1.0\/1.1 angewiesen sind, Probleme geben.<\/p>\n

<\/p>\n

Preview Update deaktiviert TLS 1.0\/1.1<\/h2>\n

\"\"Ich hatte es bereits im Blog-Beitrag Windows 10 20H2-21H2 Preview Update KB5017380 (20.9.2022)<\/a> erw\u00e4hnt. Mit dem optionalen, kumulativen (Vorschau-) Update KB5017380<\/a> hat Microsoft bereits im September 2022 TLS 1.0 und 1.1 in Windows 10 Enterprise Version 20H2, Windows 10 Education, Windows 10 IoT Enterprise Version 20H2 sowie Windows 10 Version 21H1 bis 21H2 deaktiviert. Da die \u00c4nderungen der Preview-Updates im Folgemonat in die entsprechenden Sicherheitsupdates einflie\u00dfen, wird zum Patchday, am 11. Oktober 2022, die Unterst\u00fctzung f\u00fcr TLS 1.0 und 1.1 fl\u00e4chendeckend wahrscheinlich abgeschaltet (es sei denn, Microsoft hat bereits soviel negatives Feedback aus der Preview bekommen, dass die Funktion herausgenommen wurde).<\/p>\n

An dieser Stelle erinnere ich vorsorglich an meinen aktuellen Blog-Beitrag Bug: Outlook stellt keine Verbindung mehr zum E-Mail-Server her (Oktober 2022)<\/a>. Microsoft Outlook streikt unter Windows 10, wenn TLS 1.3 verwendet wird. Microsoft schl\u00e4gt als Workaround vor, die Unterst\u00fctzung f\u00fcr TLS 1.3 zu entfernen, damit Outlook wieder synchronisieren kann.<\/p><\/blockquote>\n

Eine Lesermeldung zu Remote Desktop<\/h2>\n

Das Thema ist durch eine Leserr\u00fcckmeldung von Antonio Francisco Vanucchi aus Brasilien bei mir erneut in den Fokus ger\u00fcckt. Antonio hatte einen englischsprachigen Kommentar hinterlassen, weil er auf ein Problem gesto\u00dfen ist. Er regte an, dass ich dies im Blog aufgreife, um andere Administratoren zu warnen. Dazu schrieb er mir:<\/p>\n

Nachdem ich das optionale Update KB5017380 auf den Arbeitsstationen meines Kunden installiert habe, funktioniert die Einrichtung von Remoteapp nicht mehr. Nachdem ich mit der URL *https:\/\/mydomain]\/rdweb\/feed\/webfeed.aspx <\/em>in Systemsteuerung\/Remoteapp und Desktop-Verbindungen eingegeben habe, erhielt ich die Meldung:<\/p>\n

\"Es ist ein Fehler aufgetreten. Wenden Sie sich an den Administrator Ihres Arbeitsplatzes, um Hilfe zu erhalten.\".<\/p><\/blockquote>\n

Antonis schreibt, dass in der Ereignisanzeige keine Fehler gemeldet wurden. Bei einer Recherche stie\u00df er auf meinen Blog mit dem Beitrag zum Preview-Update – und er fand auch den Hinweis, dass KB5017380 TLS 1.0 und 1.1 standardm\u00e4\u00dfig auf allen Windows 10 Maschinen deaktiviert. Die Remote-App f\u00fcr Windows Server 2016 h\u00e4ngt aber, laut seiner Aussage, stark von TLS 1.0 ab. Das ist laut Antonio der Grund, warum der oben genannte Fehler gemeldet wird.<\/p>\n

Antonio hat mir den Link auf den (bereits vor 2 Jahren erschienenen, aber noch aktuellen) reddit.com-Thread Error when adding remoteapp connection url in control panel<\/a> geschickt, wo das Problem beschrieben wird.<\/p>\n

Error when adding remoteapp connection url in control panel<\/strong><\/p>\n

\"\"Hello,<\/p>\n

I have a Remote Access server set up in our domain that pushes out some applications for users.\u00a0 Traditionally, we have been asking users to log into the web portal to access the rdp files so they use our apps.<\/p>\n

However, I want to simplify this by pushing them out via GPO.\u00a0 To test this, I used my pc (Windows 10) as a test.\u00a0 I went to control panel > remoteapp and desktop connections and added the url: https:\/\/[mydomain]\/rdweb\/feed\/webfeed.aspx\u00a0 and I continuously get this:<\/p>\n

\"An error occurred. Contact your workplace administrator for assistance.\"<\/p>\n

I can resolve that link in a browser, as it asks me for my credentials, and then downloads a file.<\/p>\n

I can not for the life of me find anything in Event Viewer that is giving me any errors whatsoever.\u00a0 Nothing in system, nothing in RemoteApp and Desktop Connections.\u00a0 Nada.<\/p>\n

I know it should be asking for credentials, but it doesn't even give me that option.<\/p>\n

I tested this on one of our testbench servers (a vm) and it worked (Windows Server 2016) just fine.<\/p>\n

Whats even more hilarious is it works on the rdp client on my mac with no issues as well!<\/p>\n

Tested it with several other client pc's and I am getting the same thing.\u00a0 I'm at a loss, I have no idea on how to procceed.<\/p><\/blockquote>\n

Dort skizziert jemand auch den nachfolgenden Workaround. In der Techcommunity gibt es einen Eintrag<\/a> vom 4. Oktober 2022, der auf das potentielle Problem hinweist.<\/p>\n

KB5017380 Breaks RemoteApp<\/strong><\/p>\n

I installed KB5017380 on a brand new machine to bring it up to date. When it came time to set up RemoteApp, I entered an URL to my RemoteApp server and got an error that said \"An error occurred. Please contact your Administrator.\" (paraphrased).<\/p>\n

No information was given in Event Viewer or anywhere else. I have several other machines and they work just fine, although has no KB5017380 installed.<\/p>\n

Googled for an answer and very few came up. In fact, only 2 article came up and they both pointed the problem to KB5017380. I then uninstalled that, rebooted, and tried RemoteApp again. RemoteApp now works!<\/p>\n

You've been warned. This update breaks RemoteApp, or at least won't let you set up new RemoteApp connections. I hope Microsoft pulls this out and fix it before returning it back into the updates. I'm posting that information here to hopefully save you hours figuring out why you can no longer create new RemoteApp connections. Good luck!<\/p><\/blockquote>\n

Es gibt also zwei Fundstellen, die zu diesem Thema Informationen bereithalten.<\/p>\n

TLS-Workaround scheitert (noch)<\/h3>\n

Antonio hat dann weiter gegraben und schrieb: Wenn Sie das Update nicht deinstallieren m\u00f6chten, sollten Registrierungs\u00e4nderungen das aktivieren von TLS 1.0 erm\u00f6glichen. <\/em>Microsoft beschreibt den Ansatz im Support-Beitrag Managing SSL\/TLS Protocols and Cipher Suites for AD FS<\/a> aus dem Jahr 2021. Um TLS 1.0 erneut zu aktivieren, muss der Registrierungseditor regedit.exe <\/em>\u00fcber Als Administrator ausf\u00fchren <\/em>gestartet werden. Dann ist zum Schl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols<\/code><\/pre>\n
zu navigieren. Dort muss dann ein neuer Unterschl\u00fcssel TLS 1.0 <\/em>anzulegen. In diesem Unterschl\u00fcssel ist ein weiterer Unterschl\u00fcssel Client<\/em> zu erzeugen und dann ein neuer DWORD Wert DisabledByDefault,<\/em> auf 0 gesetzt, hinzuzuf\u00fcgen. Nach einem Neustart von Windows sollte TLS 1.0 wieder unterst\u00fctzt werden.<\/p>\n
\"TLS-Workaround<\/p>\n
Liest sich zwar ganz gut, aber Antonio schrieb mir dazu, dass dieser Ansatz bei ihm nicht funktioniert habe. Er war gezwungen, das optionale Preview-Update KB5017380 zu deinstallieren. Dann musste er das Sicherheits-Update KB5017308<\/a> vom 13. September 2022 erneut installieren, damit die Einrichtung von Remoteapp<\/em> wieder funktionierte. Er hofft, dass das kommende Oktober 2022-Sicherheitsupdate das Problem bei ihm korrigiert.<\/p>\n
Zum Update KB5017308<\/a> ist anzumerken, dass dieses f\u00fcr die im Artikel Windows 10 Update KB5017308 verursacht Probleme beim Erstellen\/Kopieren von Dateien per GPO<\/a> beschriebenen Probleme verantwortlich ist. Es bleibt also spannend, was der Oktober 2022-Patchday so bringt – jedenfalls habt ihr vorab eine Information zu m\u00f6glichen Problemen. Danke an Antonio f\u00fcr den Hinweis.<\/p>\n
\u00c4hnliche Artikel:
\n<\/strong>Patchday: Windows 10-Updates (13. September 2022<\/a>)
\nWindows 10 Update KB5017308 verursacht Probleme beim Erstellen\/Kopieren von Dateien per GPO<\/a>
\nWindows 10 20H2-21H2 Preview Update KB5017380 (20.9.2022)<\/a>
\nBug: Outlook stellt keine Verbindung mehr zum E-Mail-Server her (Oktober 2022)<\/a>
\n\u00dcbersicht: TLS-Support in Windows<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Am 11. Oktober 2022 ist Patchday bei Microsoft, und auch Windows 10 wird sein monatliches Sicherheitsupdate erhalten. Vorsorglich mache ich auf ein Thema aufmerksam, was m\u00f6glicherweise in einigen Stunden unter Windows 10 20H2 bis 21H2 f\u00fcr \u00c4rger sorgen k\u00f6nnte: Microsoft … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[4315,4378],"class_list":["post-273743","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-update","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273743","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273743"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273743\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273743"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273743"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273743"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}