Computerbeveiliging - Hoe je bad guys buiten de deur houdt

KB3140245 DefaultSecureProtocols

20-04-2016, 01:09 door Spiff has left the building, 6 reacties

Laatst bijgewerkt: 20-04-2016, 11:13

KB3140245
https://support.microsoft.com/en-us/kb/3140245
Interessante nieuwe optionele update.
N.B.
Wellicht met name bedoeld voor de IT security professional!
To apply this update, you have to add the DefaultSecureProtocols registry subkey!
Zie:

A new registry key enables TLS 1.1 and TLS 1.2 to default secure protocols in WinHTTP in Windows

About this update
This update provides support for Transport Layer Security (TLS) 1.1 and TLS 1.2 in Windows Server 2012, Windows 7 Service Pack 1 (SP1), and Windows Server 2008 R2 SP1.
This update adds a DefaultSecureProtocols registry key in Windows that allows users to change system-wide default protocols for WinHTTP and hardcodes Webio default protocols to include TLS 1.1 and TLS 1.2.

Update detail information
Registry information
To apply this update, you have to add the DefaultSecureProtocols registry subkey.

More information
How the DefaultSecureProtocols registry entry works
WinHTTP tries to set its default secure protocols by first searching for this registry key and applying the bitmap value. If the registry key is not present, WinHTTP will use the existing operating system defaults for WinHTTP. These WinHTTP defaults follow the existing precedence rules and are overruled by SCHANNEL disabled protocols and protocols set per application by WinHttpSetOption.

The DefaultSecureProtocols registry entry can be added in the following path:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
On x64-based computers, DefaultSecureProtocols must also be added to the Wow6432Node path:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
The registry value is a DWORD bitmap. The following values can be used in any combination to enable multiple protocols by default:

DefaultSecureProtocols Value ....... Protocol enabled
0x00000008 ................................... Enable SSL 2.0 by default
0x00000020 ................................... Enable SSL 3.0 by default
0x00000080 ................................... Enable TLS 1.0 by default
0x00000200 ................................... Enable TLS 1.1 by default
0x00000800 ................................... Enable TLS 1.2 by default

Update Catalog ipv Download Center

iobit malware fighter

Reacties (6)

20-04-2016, 09:52 door Blondie - Bijgewerkt: 20-04-2016, 09:54

Door Spiff:
KB3140245
https://support.microsoft.com/en-us/kb/3140245
Interessante nieuwe optionele update.
N.B.
To apply this update, you have to add the DefaultSecureProtocols registry subkey!

Dat adden van de subkey lijkt me voor de doorsnee WIndows-gebruiker een stap te ver.

20-04-2016, 11:08 door Spiff has left the building

Door Blondie, 09:52 uur, bijgewerkt 09:54 uur:
Dat adden van de subkey lijkt me voor de doorsnee WIndows-gebruiker een stap te ver.

Inderdaad. Deze update lijkt me vooral bedoeld voor de IT security professional.
Maar voor die doelgroep lijkt het me een interessante update.

20-04-2016, 21:02 door Erik van Straten - Bijgewerkt: 20-04-2016, 22:40

Ik begrijp dit niet goed. Onder Control Panel\Network and Internet, tab "Advanced", heb ik al heel lang de volgende keuzes (met de huidige door mij ingestelde configuratie):

[ ] Use SSL 2.0
[ ] Use SSL 3.0
[v] Use TLS 1.0
[v] Use TLS 1.1
[v] Use TLS 1.2

Waarom zou ik ook ergens anders iets moeten instellen? En waarom heb ik daar ineens een update voor nodig?

Ik las net toevallig dat Microsoft stopt met de XBOX 360 (niet dat ik daar zelf ooit iets mee gedaan heb), maar ik vraag me wel af waar Nadella in vredesnaam mee bezig is (Windows 10 Phone zou ook al zijn geprullebakkeerd)...

22:40 fixed typo (meij -> mij)

20-04-2016, 21:40 door Spiff has left the building - Bijgewerkt: 20-04-2016, 21:40

Door Erik van Straten, 21:02 uur, bijgewerkt 21:04 uur:
Ik begrijp dit niet goed. Onder Control Panel\Network and Internet, tab "Advanced", heb ik al heel lang de volgende keuzes (met de huidige door mij ingestelde configuratie): [...]

Voor welke Windows versie is dat de weergave?
In Windows 7 ken ik
Configuratiescherm\ Netwerk en internet\ Internetopties\ Eigenschappen van internet\ tab Geavanceerd\
met de configuratie(opties) zoals jij die weergaf.
Maar die "Eigenschappen van internet" is voor zover ik weet enkel van toepassing op IE en WMP (en misschien WMC), en niet op andere applicaties.

Daarnaast is er ook nog
Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
met diverse configuratie-opties, maar er is me daarbinnen niet een optie Geavanceerd bekend met de opties zoals jij die weergaf, ik ken die alleen uit "Eigenschappen van internet", die -zoals ik aangaf- voor zover ik weet slechts van toepassing is op IE en WMP (en misschien WMC).

Door Erik van Straten, 21:02 uur, bijgewerkt 21:04 uur:
Waarom zou ik ook ergens anders iets moeten instellen? En waarom heb ik daar ineens een update voor nodig?

Om default secure protocols te kunnen afdwingen voor andere applicaties dan IE en WMP (en WMC), wellicht?
En misschien kan dat niet zonder die update?
Ik weet het niet.
Ik hoopte juist dat jij dat zou weten ;-)

20-04-2016, 22:56 door Erik van Straten

20-04-2016, 21:40 door Spiff:
Ik hoopte juist dat jij dat zou weten ;-)

Dank, is normaal gesproken ook wel iets waar ik induik, maar met hoe Microsoft nu met haar klanten omgaat, en nog wat andere (non-Microsoft) issues die spelen, heb ik momenteel geen zin om daar veel tijd aan te besteden.

Even heel snel dan: onder HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ staan bij mij (W7 Pro/x64) uitsluitend de volgende subkeys:
- SSL 2.0
- SSL 3.0
en beide hoor je niet meer te gebruiken.

Onder HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\ (en een kopie daarvan onder HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\) staan de o.a. volgende subkeys (overeenkomstig de 5 instellingen onder "Internet Sttings" die ik eerder noemde):
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Aan het feit dat onder elk van deze keys een valuename "Type" met value "checkbox" te vinden is, doet vermoeden dat dit, 1-op-1, overeenkomt met de "Advanced" instelingen onder "Control Panel\Network and Internet".

De scope van "Internet Settings" (in Control panel, maar ook direct bereikbaar vanuit MSIE),is mij nooit duidelijk geworden. Een aantal van die instellingen daarin hebben duidelijk uitsluitend betrekking op MSIE, maar er staan ook system-wide settings in (zoals de instelling voor het zoeken naar een proxy server middels het -risicovolle- WPAD verhaal).

21-04-2016, 00:09 door Spiff has left the building - Bijgewerkt: 21-04-2016, 10:41

Door Erik van Straten,wo.20-04, 22:56 uur:
Dank, is normaal gesproken ook wel iets waar ik induik, maar met hoe Microsoft nu met haar klanten omgaat, en nog wat andere (non-Microsoft) issues die spelen, heb ik momenteel geen zin om daar veel tijd aan te besteden.

Gelijk heb je, hoor.
En ik wilde je daar ook beslist niet toe forceren, ik hoop dat dat voor zich mag spreken.

Door Erik van Straten,wo.20-04, 22:56 uur:
Even heel snel dan: onder HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ staan bij mij (W7 Pro/x64) uitsluitend de volgende subkeys:
- SSL 2.0
- SSL 3.0
en beide hoor je niet meer te gebruiken.

Opvallend, ik zie daar op mijn beide W7 systemen (1x Pro/x64 en 1x HomePremium/x64) alleen SSL 2.0, geen SSL 3.0.
Is dat mogelijk een gevolg van een aanpassing die jij hebt gemaakt?
Of misschien van een aanpassing die ik heb gemaakt?
Aanvulling, do.21-04, 10:41 uur:
Misschien doordat ik via Configuratiescherm\ Netwerk en internet\ Internetopties\ Eigenschappen van internet\ tab Geavanceerd\ naast SSL 2.0 ook SSL 3.0 al had uitgeschakeld, vóórdat Microsoft dat zo instelde door middel van een update?

Door Erik van Straten,wo.20-04, 22:56 uur:
Onder HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\ (en een kopie daarvan onder HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\) staan de o.a. volgende subkeys (overeenkomstig de 5 instellingen onder "Internet Sttings" die ik eerder noemde):
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Aan het feit dat onder elk van deze keys een valuename "Type" met value "checkbox" te vinden is, doet vermoeden dat dit, 1-op-1, overeenkomt met de "Advanced" instelingen onder "Control Panel\Network and Internet".

De scope van "Internet Settings" (in Control panel, maar ook direct bereikbaar vanuit MSIE),is mij nooit duidelijk geworden. Een aantal van die instellingen daarin hebben duidelijk uitsluitend betrekking op MSIE, maar er staan ook system-wide settings in (zoals de instelling voor het zoeken naar een proxy server middels het -risicovolle- WPAD verhaal).

Ik heb je hierboven maar eventjes volledig geciteerd, en in dat citaat één passage vet gemaakt.
Behalve die ene passage, lijkt alles dat je daar noemt overeenkomend met de settings via "Internet Settings\Advanced".
Ook die registry key betreft immers Internet Explorer.

Echter, waar je precies op doelt met "Advanced" instelingen onder "Control Panel\Network and Internet", dat is me niet duidelijk, zoals ik ook 21:40 uur al aangaf.
Ik zie onder "Configuratiescherm\Netwerk en internet" niet direct een optie Geavanceerd.
Wel "Configuratiescherm\Netwerk en internet" en dan Internetopties\ Eigenschappen van internet\ tab Geavanceerd, maar het lijkt erop dat jij iets anders bedoelt.
Kun je misschien nog eens heel precies aangeven hoe en waar je via "Control Panel\Network and Internet" de tab "Advanced" vindt?
Heb je er de tijd of te energie niet voor, laat het dan beslist maar zitten, hoor, want zo relevant is dit allemaal niet, zo lijkt me.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Nederlandse "AI-fabriek":

Vacature

Cybersecurity Trainer / Full Stack Developer

Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.

Lees meer

Waar moet ik op letten als ik een privacy policy lees, wat is echt belangrijk?

25-06-2025 door Arnoud Engelfriet

Juridische vraag: Of ik nu software installeer, een account aanmaak of een dienst afneem, overal moet ik akkoord gaan met een ...

7 reacties

Lees meer

Wetten der Robotica: Toegepast op AI?

18-06-2025 door Anoniem

Ik bekeek de documentaire "Science Fiction in the Atomic Age" op NPO2Extra, aflevering 2. Daarin stelt professor Adam Roberts ...

35 reacties

Lees meer

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Aan welke eisen moeten bedrijven voldoen die AI voor klantenservice inzetten?

11-06-2025 door Arnoud Engelfriet

Juridische vraag: Steeds vaker zie ik dat bedrijven bij klantenservice een AI-chatbot inzetten als eerste lijn. Die hebben vaak ...

8 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

KB3140245 DefaultSecureProtocols

Nederlandse "AI-fabriek":

Wachtwoord Vergeten

Password Reset

Registreren