{"id":284478,"date":"2023-08-02T02:25:23","date_gmt":"2023-08-02T00:25:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284478"},"modified":"2023-08-03T11:47:26","modified_gmt":"2023-08-03T09:47:26","slug":"windows-microsoft-will-tls-1-0-und-1-1-bald-standardmig-in-schannel-protokoll-deaktivieren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/02\/windows-microsoft-will-tls-1-0-und-1-1-bald-standardmig-in-schannel-protokoll-deaktivieren\/","title":{"rendered":"Windows: Microsoft will TLS 1.0 und 1.1 bald standardmäßig im Schannel-Protokoll deaktivieren"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kurzer Hinweis f\u00fcr Administratoren in Unternehmensumgebung. Microsoft plant im Schannel-Protokoll die bisher standardm\u00e4\u00dfig noch verwendeten TLS 1.0 und 1.1 bald abzuschalten (beginnt im September 2023 mit Windows 11 Insider Builds). In einer Mitteilung empfiehlt das Unternehmen Administratoren\u00a0 zu kl\u00e4ren, ob eine Abh\u00e4ngigkeit von TLS 1.0 und 1.1 besteht. Man sollte sich \u00fcber bevorstehende \u00c4nderungen der Schannel-Protokollvorgaben und dar\u00fcber, wie Abh\u00e4ngigkeiten von \u00e4lteren TLS-Versionen beseitigt (oder aus Kompatibilit\u00e4tsgr\u00fcnden aktiviert belassen) werden kann, informieren.<\/p>\n

<\/p>\n

\"\"Das Ganze wird im Techcommunity-Beitrag TLS 1.0 and TLS 1.1 soon to be disabled in Windows<\/a> aufgegriffen – ich bin \u00fcber nachfolgenden Tweet auf das Thema gesto\u00dfen.<\/p>\n

\"TLS<\/a><\/p>\n

Transport Layer Security (TLS)<\/h2>\n

Transport Layer Security (TLS) ist das g\u00e4ngigste Internetprotokoll f\u00fcr die Einrichtung eines verschl\u00fcsselten Kommunikationskanals zwischen einem Client und einem Server. Allerdings gibt es aus historischen Gr\u00fcnden verschiedene Varianten. Das alte Protokoll TLS 1.0 stammt aus dem Jahr 1999, und ist nicht mehr als sicher einzustufen, da im Laufe der Zeit mehrere Sicherheitsl\u00fccken in dieser Protokollversion gefunden wurden. Das neuere TLS 1.1 wurde 2006 ver\u00f6ffentlicht und brachte einige Sicherheitsverbesserungen mit sich. Allerdings wurde nie eine breite Akzeptanz f\u00fcr TLS 1.1 erreicht. Inzwischen wurden TLS 1.2 und TLS 1.3 eingef\u00fchrt und sind breit im Einsatz. TLS-Implementierungen versuchen die Verbindungen mit der h\u00f6chsten verf\u00fcgbaren Protokollversion auszuhandeln.<\/p>\n

In den letzten Jahren haben Internet-Standards und Regulierungsbeh\u00f6rden die TLS-Versionen 1.0 und 1.1 aufgrund einer Reihe von Sicherheitsproblemen als veraltet eingestuft oder nicht mehr zugelassen. Nun wird es an der Zeit, die alten Protokolle aus dem Verkehr zu ziehen.<\/p>\n

Microsoft plant die Abschaltung<\/h2>\n

Microsoft ist der Meinung, dass die Nutzungsdaten von TLS 1.0 und 1.1 inzwischen niedrig genug sind, um zu handeln und die TLS-Versionen 1.0 und 1.1 in K\u00fcrze standardm\u00e4\u00dfig im Betriebssystem zu deaktivieren. Das beginnt im September 2023 mit den Windows 11 Insider Preview-Builds und soll dann in zuk\u00fcnftigen Windows-Betriebssystemversionen ber\u00fccksichtigt werden. Ziel ist die Sicherheitslage von Windows-Systemen zu verbessern und die Verwendung moderner Protokolle zu f\u00f6rdern.<\/p>\n

Die Auswirkungen dieser \u00c4nderung h\u00e4ngen weitgehend von den Windows-Anwendungen ab, die die alten TLS-Protokolle noch verwenden. TLS 1.0 und TLS 1.1 wurden bereits in den Microsoft 365-Produkten sowie in den WinHTTP- und WinINet-API-Oberfl\u00e4chen deaktiviert. Die meisten neueren Versionen von Anwendungen unterst\u00fctzen TLS 1.2 oder h\u00f6here Protokollversionen. Anwendungen, die bei der Deaktivierung von TLS 1.0 und TLS 1.1 fehlschlagen, k\u00f6nnen durch Ereignis 36871 im Windows-Ereignisprotokoll identifiziert werden. Dort sollten dann Eintr\u00e4ge der Art:<\/p>\n

Beim Erstellen einer TLS <Client\/Server>-Anmeldeinformation ist ein schwerwiegender Fehler aufgetreten. Der interne Fehlerstatus ist 10013. Der SSPI-Client-Prozess ist <Prozess-ID><\/p><\/blockquote>\n

zu finden sein. Dann sollte gepr\u00fcft werden, ob neue Versionen der Anwendung verf\u00fcgbar sind, die kein TLS 1.0\/1.1 mehr ben\u00f6tigen.<\/p>\n

Anmerkung:<\/strong> Die Kollegen hier<\/a> haben einige Anwendungen aufgelistet, die gesamte MS SQL-Produktpalette bis 2016 scheint betroffen. Weil es diskutiert wird, verweise ich auf diesen Supportbeitrag<\/a> zum TLS 1.2 Enablement per\u00a0KB3135244.<\/p><\/blockquote>\n

TLS 1.0\/1.1 wieder zulassen<\/h2>\n

Gibt es keine entsprechende Version der Anwendung, haben Administratoren, die die Kompatibilit\u00e4t aufrechterhalten m\u00fcssen, die M\u00f6glichkeit, TLS 1.0 oder TLS 1.1 wieder zu aktivieren. Um die Systemvorgabe au\u00dfer Kraft zu setzen und eine (D)TLS- oder SSL-Protokollversion auf den Status \"Aktiviert\" zu setzen, erstellen Sie einen DWORD-Registrierungswert namens \"Enabled\" (Aktiviert) mit dem Eintragswert \"1\" unter dem entsprechenden versionsspezifischen Unterschl\u00fcssel. Beispiele f\u00fcr TLS 1.0-Unterschl\u00fcssel lauten wie folgt<\/p>\n

HKLM SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client\r\nHKLM SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server<\/pre>\n
Von Microsoft wird empfohlen, die Standardeinstellungen des Systems zu verwenden, um ein optimales Verh\u00e4ltnis zwischen Sicherheit und Leistung zu erreichen (der obige Registrierungseingriff ist die letzte Option). Wenn Unternehmen TLS-Cipher-Suites mithilfe von Gruppenrichtlinien oder PowerShell-Cmdlets einschr\u00e4nken, sollten sie auch \u00fcberpr\u00fcfen, ob die f\u00fcr TLS 1.3 und TLS 1.2 erforderlichen Cipher-Suites aktiviert sind.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nWTF von Ryan Ries: Edge verwendet eigene TLS-Zertifikatspr\u00fcfungen<\/a>
\n\u00dcbersicht: TLS-Support in Windows<\/a>
\n\u00c4nderungen im Edge: \u00c4nderung bei TLS-Zertifikaten, kein Uninstall mehr, Server 2012\/R2-Support<\/a>
\nWindows 10: Achtung vor einem m\u00f6glichen TLS-Desaster zum Oktober 2022-Patchday<\/a>
\nFix des SSL-\/TLS-Verbindungsproblems: Stand der Sonderupdates und betroffene Anwendungen (21.10.2022)<\/a>
\nCitrix-Verbindungen nach Windows-Update KB5018410 (Oktober 2022) gest\u00f6rt (TLS-Problem)<\/a>
\nSonderupdates f\u00fcr Windows fixen SSL-\/TLS-Verbindungsproblem (auch bei Citrix) \u2013 17. Oktober 2022<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kurzer Hinweis f\u00fcr Administratoren in Unternehmensumgebung. Microsoft plant im Schannel-Protokoll die bisher standardm\u00e4\u00dfig noch verwendeten TLS 1.0 und 1.1 bald abzuschalten (beginnt im September 2023 mit Windows 11 Insider Builds). In einer Mitteilung empfiehlt das Unternehmen Administratoren\u00a0 zu kl\u00e4ren, ob … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[3288],"class_list":["post-284478","post","type-post","status-publish","format-standard","hentry","category-windows","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284478","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284478"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284478\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284478"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284478"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284478"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}