Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

KB3140245 DefaultSecureProtocols

20-04-2016, 01:09 door Spiff, 6 reacties
Laatst bijgewerkt: 20-04-2016, 11:13
 
KB3140245
https://support.microsoft.com/en-us/kb/3140245
Interessante nieuwe optionele update.
N.B.
Wellicht met name bedoeld voor de IT security professional!
To apply this update, you have to add the DefaultSecureProtocols registry subkey!
Zie:


A new registry key enables TLS 1.1 and TLS 1.2 to default secure protocols in WinHTTP in Windows

About this update

This update provides support for Transport Layer Security (TLS) 1.1 and TLS 1.2 in Windows Server 2012, Windows 7 Service Pack 1 (SP1), and Windows Server 2008 R2 SP1.
This update adds a DefaultSecureProtocols registry key in Windows that allows users to change system-wide default protocols for WinHTTP and hardcodes Webio default protocols to include TLS 1.1 and TLS 1.2.

Update detail information
Registry information

To apply this update, you have to add the DefaultSecureProtocols registry subkey.

More information
How the DefaultSecureProtocols registry entry works

WinHTTP tries to set its default secure protocols by first searching for this registry key and applying the bitmap value. If the registry key is not present, WinHTTP will use the existing operating system defaults for WinHTTP. These WinHTTP defaults follow the existing precedence rules and are overruled by SCHANNEL disabled protocols and protocols set per application by WinHttpSetOption.

The DefaultSecureProtocols registry entry can be added in the following path:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
On x64-based computers, DefaultSecureProtocols must also be added to the Wow6432Node path:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
The registry value is a DWORD bitmap. The following values can be used in any combination to enable multiple protocols by default:

DefaultSecureProtocols Value ....... Protocol enabled
0x00000008 ................................... Enable SSL 2.0 by default
0x00000020 ................................... Enable SSL 3.0 by default
0x00000080 ................................... Enable TLS 1.0 by default
0x00000200 ................................... Enable TLS 1.1 by default
0x00000800 ................................... Enable TLS 1.2 by default

Update Catalog ipv Download Center
iobit malware fighter
Reacties (6)
20-04-2016, 09:52 door Blondie - Bijgewerkt: 20-04-2016, 09:54
Door Spiff:  
KB3140245
https://support.microsoft.com/en-us/kb/3140245
Interessante nieuwe optionele update.
N.B.
To apply this update, you have to add the DefaultSecureProtocols registry subkey!

Dat adden van de subkey lijkt me voor de doorsnee WIndows-gebruiker een stap te ver.
20-04-2016, 11:08 door Spiff
Door Blondie, 09:52 uur, bijgewerkt 09:54 uur:
Dat adden van de subkey lijkt me voor de doorsnee WIndows-gebruiker een stap te ver.
Inderdaad. Deze update lijkt me vooral bedoeld voor de IT security professional.
Maar voor die doelgroep lijkt het me een interessante update.
20-04-2016, 21:02 door Erik van Straten - Bijgewerkt: 20-04-2016, 22:40
Ik begrijp dit niet goed. Onder Control Panel\Network and Internet, tab "Advanced", heb ik al heel lang de volgende keuzes (met de huidige door mij ingestelde configuratie):

[ ] Use SSL 2.0
[ ] Use SSL 3.0
[v] Use TLS 1.0
[v] Use TLS 1.1
[v] Use TLS 1.2

Waarom zou ik ook ergens anders iets moeten instellen? En waarom heb ik daar ineens een update voor nodig?

Ik las net toevallig dat Microsoft stopt met de XBOX 360 (niet dat ik daar zelf ooit iets mee gedaan heb), maar ik vraag me wel af waar Nadella in vredesnaam mee bezig is (Windows 10 Phone zou ook al zijn geprullebakkeerd)...

22:40 fixed typo (meij -> mij)
20-04-2016, 21:40 door Spiff - Bijgewerkt: 20-04-2016, 21:40
Door Erik van Straten, 21:02 uur, bijgewerkt 21:04 uur:
Ik begrijp dit niet goed. Onder Control Panel\Network and Internet, tab "Advanced", heb ik al heel lang de volgende keuzes (met de huidige door mij ingestelde configuratie): [...]
Voor welke Windows versie is dat de weergave?
In Windows 7 ken ik
Configuratiescherm\ Netwerk en internet\ Internetopties\ Eigenschappen van internet\ tab Geavanceerd\
met de configuratie(opties) zoals jij die weergaf.
Maar die "Eigenschappen van internet" is voor zover ik weet enkel van toepassing op IE en WMP (en misschien WMC), en niet op andere applicaties.

Daarnaast is er ook nog
Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
met diverse configuratie-opties, maar er is me daarbinnen niet een optie Geavanceerd bekend met de opties zoals jij die weergaf, ik ken die alleen uit "Eigenschappen van internet", die -zoals ik aangaf- voor zover ik weet slechts van toepassing is op IE en WMP (en misschien WMC).

Door Erik van Straten, 21:02 uur, bijgewerkt 21:04 uur:
Waarom zou ik ook ergens anders iets moeten instellen? En waarom heb ik daar ineens een update voor nodig?
Om default secure protocols te kunnen afdwingen voor andere applicaties dan IE en WMP (en WMC), wellicht?
En misschien kan dat niet zonder die update?
Ik weet het niet.
Ik hoopte juist dat jij dat zou weten ;-)
20-04-2016, 22:56 door Erik van Straten
20-04-2016, 21:40 door Spiff:
Ik hoopte juist dat jij dat zou weten ;-)
Dank, is normaal gesproken ook wel iets waar ik induik, maar met hoe Microsoft nu met haar klanten omgaat, en nog wat andere (non-Microsoft) issues die spelen, heb ik momenteel geen zin om daar veel tijd aan te besteden.

Even heel snel dan: onder HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ staan bij mij (W7 Pro/x64) uitsluitend de volgende subkeys:
- SSL 2.0
- SSL 3.0
en beide hoor je niet meer te gebruiken.

Onder HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\ (en een kopie daarvan onder HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\) staan de o.a. volgende subkeys (overeenkomstig de 5 instellingen onder "Internet Sttings" die ik eerder noemde):
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Aan het feit dat onder elk van deze keys een valuename "Type" met value "checkbox" te vinden is, doet vermoeden dat dit, 1-op-1, overeenkomt met de "Advanced" instelingen onder "Control Panel\Network and Internet".

De scope van "Internet Settings" (in Control panel, maar ook direct bereikbaar vanuit MSIE),is mij nooit duidelijk geworden. Een aantal van die instellingen daarin hebben duidelijk uitsluitend betrekking op MSIE, maar er staan ook system-wide settings in (zoals de instelling voor het zoeken naar een proxy server middels het -risicovolle- WPAD verhaal).
21-04-2016, 00:09 door Spiff - Bijgewerkt: 21-04-2016, 10:41
Door Erik van Straten,wo.20-04, 22:56 uur:
Dank, is normaal gesproken ook wel iets waar ik induik, maar met hoe Microsoft nu met haar klanten omgaat, en nog wat andere (non-Microsoft) issues die spelen, heb ik momenteel geen zin om daar veel tijd aan te besteden.
Gelijk heb je, hoor.
En ik wilde je daar ook beslist niet toe forceren, ik hoop dat dat voor zich mag spreken.

Door Erik van Straten,wo.20-04, 22:56 uur:
Even heel snel dan: onder HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ staan bij mij (W7 Pro/x64) uitsluitend de volgende subkeys:
- SSL 2.0
- SSL 3.0
en beide hoor je niet meer te gebruiken.
Opvallend, ik zie daar op mijn beide W7 systemen (1x Pro/x64 en 1x HomePremium/x64) alleen SSL 2.0, geen SSL 3.0.
Is dat mogelijk een gevolg van een aanpassing die jij hebt gemaakt?
Of misschien van een aanpassing die ik heb gemaakt?
Aanvulling, do.21-04, 10:41 uur:
Misschien doordat ik via Configuratiescherm\ Netwerk en internet\ Internetopties\ Eigenschappen van internet\ tab Geavanceerd\ naast SSL 2.0 ook SSL 3.0 al had uitgeschakeld, vóórdat Microsoft dat zo instelde door middel van een update?

Door Erik van Straten,wo.20-04, 22:56 uur:
Onder HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\ (en een kopie daarvan onder HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\) staan de o.a. volgende subkeys (overeenkomstig de 5 instellingen onder "Internet Sttings" die ik eerder noemde):
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Aan het feit dat onder elk van deze keys een valuename "Type" met value "checkbox" te vinden is, doet vermoeden dat dit, 1-op-1, overeenkomt met de "Advanced" instelingen onder "Control Panel\Network and Internet".

De scope van "Internet Settings" (in Control panel, maar ook direct bereikbaar vanuit MSIE),is mij nooit duidelijk geworden. Een aantal van die instellingen daarin hebben duidelijk uitsluitend betrekking op MSIE, maar er staan ook system-wide settings in (zoals de instelling voor het zoeken naar een proxy server middels het -risicovolle- WPAD verhaal).
Ik heb je hierboven maar eventjes volledig geciteerd, en in dat citaat één passage vet gemaakt.
Behalve die ene passage, lijkt alles dat je daar noemt overeenkomend met de settings via "Internet Settings\Advanced".
Ook die registry key betreft immers Internet Explorer.

Echter, waar je precies op doelt met "Advanced" instelingen onder "Control Panel\Network and Internet", dat is me niet duidelijk, zoals ik ook 21:40 uur al aangaf.
Ik zie onder "Configuratiescherm\Netwerk en internet" niet direct een optie Geavanceerd.
Wel "Configuratiescherm\Netwerk en internet" en dan Internetopties\ Eigenschappen van internet\ tab Geavanceerd, maar het lijkt erop dat jij iets anders bedoelt.
Kun je misschien nog eens heel precies aangeven hoe en waar je via "Control Panel\Network and Internet" de tab "Advanced" vindt?
Heb je er de tijd of te energie niet voor, laat het dan beslist maar zitten, hoor, want zo relevant is dit allemaal niet, zo lijkt me.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

12 reacties
Aantal stemmen: 1003
Image
BYOD
04-03-2021 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

19 reacties
Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter