Computerbeveiliging - Hoe je bad guys buiten de deur houdt

KB3140245 DefaultSecureProtocols

20-04-2016, 01:09 door Spiff has left the building, 6 reacties
Laatst bijgewerkt: 20-04-2016, 11:13
 
KB3140245
https://support.microsoft.com/en-us/kb/3140245
Interessante nieuwe optionele update.
N.B.
Wellicht met name bedoeld voor de IT security professional!
To apply this update, you have to add the DefaultSecureProtocols registry subkey!
Zie:


A new registry key enables TLS 1.1 and TLS 1.2 to default secure protocols in WinHTTP in Windows

About this update

This update provides support for Transport Layer Security (TLS) 1.1 and TLS 1.2 in Windows Server 2012, Windows 7 Service Pack 1 (SP1), and Windows Server 2008 R2 SP1.
This update adds a DefaultSecureProtocols registry key in Windows that allows users to change system-wide default protocols for WinHTTP and hardcodes Webio default protocols to include TLS 1.1 and TLS 1.2.

Update detail information
Registry information

To apply this update, you have to add the DefaultSecureProtocols registry subkey.

More information
How the DefaultSecureProtocols registry entry works

WinHTTP tries to set its default secure protocols by first searching for this registry key and applying the bitmap value. If the registry key is not present, WinHTTP will use the existing operating system defaults for WinHTTP. These WinHTTP defaults follow the existing precedence rules and are overruled by SCHANNEL disabled protocols and protocols set per application by WinHttpSetOption.

The DefaultSecureProtocols registry entry can be added in the following path:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
On x64-based computers, DefaultSecureProtocols must also be added to the Wow6432Node path:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
The registry value is a DWORD bitmap. The following values can be used in any combination to enable multiple protocols by default:

DefaultSecureProtocols Value ....... Protocol enabled
0x00000008 ................................... Enable SSL 2.0 by default
0x00000020 ................................... Enable SSL 3.0 by default
0x00000080 ................................... Enable TLS 1.0 by default
0x00000200 ................................... Enable TLS 1.1 by default
0x00000800 ................................... Enable TLS 1.2 by default

Reacties (6)
20-04-2016, 09:52 door Blondie - Bijgewerkt: 20-04-2016, 09:54
Door Spiff:  
KB3140245
https://support.microsoft.com/en-us/kb/3140245
Interessante nieuwe optionele update.
N.B.
To apply this update, you have to add the DefaultSecureProtocols registry subkey!

Dat adden van de subkey lijkt me voor de doorsnee WIndows-gebruiker een stap te ver.
20-04-2016, 11:08 door Spiff has left the building
Door Blondie, 09:52 uur, bijgewerkt 09:54 uur:
Dat adden van de subkey lijkt me voor de doorsnee WIndows-gebruiker een stap te ver.
Inderdaad. Deze update lijkt me vooral bedoeld voor de IT security professional.
Maar voor die doelgroep lijkt het me een interessante update.
20-04-2016, 21:02 door Erik van Straten - Bijgewerkt: 20-04-2016, 22:40
Ik begrijp dit niet goed. Onder Control Panel\Network and Internet, tab "Advanced", heb ik al heel lang de volgende keuzes (met de huidige door mij ingestelde configuratie):

[ ] Use SSL 2.0
[ ] Use SSL 3.0
[v] Use TLS 1.0
[v] Use TLS 1.1
[v] Use TLS 1.2

Waarom zou ik ook ergens anders iets moeten instellen? En waarom heb ik daar ineens een update voor nodig?

Ik las net toevallig dat Microsoft stopt met de XBOX 360 (niet dat ik daar zelf ooit iets mee gedaan heb), maar ik vraag me wel af waar Nadella in vredesnaam mee bezig is (Windows 10 Phone zou ook al zijn geprullebakkeerd)...

22:40 fixed typo (meij -> mij)
20-04-2016, 21:40 door Spiff has left the building - Bijgewerkt: 20-04-2016, 21:40
Door Erik van Straten, 21:02 uur, bijgewerkt 21:04 uur:
Ik begrijp dit niet goed. Onder Control Panel\Network and Internet, tab "Advanced", heb ik al heel lang de volgende keuzes (met de huidige door mij ingestelde configuratie): [...]
Voor welke Windows versie is dat de weergave?
In Windows 7 ken ik
Configuratiescherm\ Netwerk en internet\ Internetopties\ Eigenschappen van internet\ tab Geavanceerd\
met de configuratie(opties) zoals jij die weergaf.
Maar die "Eigenschappen van internet" is voor zover ik weet enkel van toepassing op IE en WMP (en misschien WMC), en niet op andere applicaties.

Daarnaast is er ook nog
Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
met diverse configuratie-opties, maar er is me daarbinnen niet een optie Geavanceerd bekend met de opties zoals jij die weergaf, ik ken die alleen uit "Eigenschappen van internet", die -zoals ik aangaf- voor zover ik weet slechts van toepassing is op IE en WMP (en misschien WMC).

Door Erik van Straten, 21:02 uur, bijgewerkt 21:04 uur:
Waarom zou ik ook ergens anders iets moeten instellen? En waarom heb ik daar ineens een update voor nodig?
Om default secure protocols te kunnen afdwingen voor andere applicaties dan IE en WMP (en WMC), wellicht?
En misschien kan dat niet zonder die update?
Ik weet het niet.
Ik hoopte juist dat jij dat zou weten ;-)
20-04-2016, 22:56 door Erik van Straten
20-04-2016, 21:40 door Spiff:
Ik hoopte juist dat jij dat zou weten ;-)
Dank, is normaal gesproken ook wel iets waar ik induik, maar met hoe Microsoft nu met haar klanten omgaat, en nog wat andere (non-Microsoft) issues die spelen, heb ik momenteel geen zin om daar veel tijd aan te besteden.

Even heel snel dan: onder HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ staan bij mij (W7 Pro/x64) uitsluitend de volgende subkeys:
- SSL 2.0
- SSL 3.0
en beide hoor je niet meer te gebruiken.

Onder HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\ (en een kopie daarvan onder HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\) staan de o.a. volgende subkeys (overeenkomstig de 5 instellingen onder "Internet Sttings" die ik eerder noemde):
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Aan het feit dat onder elk van deze keys een valuename "Type" met value "checkbox" te vinden is, doet vermoeden dat dit, 1-op-1, overeenkomt met de "Advanced" instelingen onder "Control Panel\Network and Internet".

De scope van "Internet Settings" (in Control panel, maar ook direct bereikbaar vanuit MSIE),is mij nooit duidelijk geworden. Een aantal van die instellingen daarin hebben duidelijk uitsluitend betrekking op MSIE, maar er staan ook system-wide settings in (zoals de instelling voor het zoeken naar een proxy server middels het -risicovolle- WPAD verhaal).
21-04-2016, 00:09 door Spiff has left the building - Bijgewerkt: 21-04-2016, 10:41
Door Erik van Straten,wo.20-04, 22:56 uur:
Dank, is normaal gesproken ook wel iets waar ik induik, maar met hoe Microsoft nu met haar klanten omgaat, en nog wat andere (non-Microsoft) issues die spelen, heb ik momenteel geen zin om daar veel tijd aan te besteden.
Gelijk heb je, hoor.
En ik wilde je daar ook beslist niet toe forceren, ik hoop dat dat voor zich mag spreken.

Door Erik van Straten,wo.20-04, 22:56 uur:
Even heel snel dan: onder HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ staan bij mij (W7 Pro/x64) uitsluitend de volgende subkeys:
- SSL 2.0
- SSL 3.0
en beide hoor je niet meer te gebruiken.
Opvallend, ik zie daar op mijn beide W7 systemen (1x Pro/x64 en 1x HomePremium/x64) alleen SSL 2.0, geen SSL 3.0.
Is dat mogelijk een gevolg van een aanpassing die jij hebt gemaakt?
Of misschien van een aanpassing die ik heb gemaakt?
Aanvulling, do.21-04, 10:41 uur:
Misschien doordat ik via Configuratiescherm\ Netwerk en internet\ Internetopties\ Eigenschappen van internet\ tab Geavanceerd\ naast SSL 2.0 ook SSL 3.0 al had uitgeschakeld, vóórdat Microsoft dat zo instelde door middel van een update?

Door Erik van Straten,wo.20-04, 22:56 uur:
Onder HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\ (en een kopie daarvan onder HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\) staan de o.a. volgende subkeys (overeenkomstig de 5 instellingen onder "Internet Sttings" die ik eerder noemde):
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Aan het feit dat onder elk van deze keys een valuename "Type" met value "checkbox" te vinden is, doet vermoeden dat dit, 1-op-1, overeenkomt met de "Advanced" instelingen onder "Control Panel\Network and Internet".

De scope van "Internet Settings" (in Control panel, maar ook direct bereikbaar vanuit MSIE),is mij nooit duidelijk geworden. Een aantal van die instellingen daarin hebben duidelijk uitsluitend betrekking op MSIE, maar er staan ook system-wide settings in (zoals de instelling voor het zoeken naar een proxy server middels het -risicovolle- WPAD verhaal).
Ik heb je hierboven maar eventjes volledig geciteerd, en in dat citaat één passage vet gemaakt.
Behalve die ene passage, lijkt alles dat je daar noemt overeenkomend met de settings via "Internet Settings\Advanced".
Ook die registry key betreft immers Internet Explorer.

Echter, waar je precies op doelt met "Advanced" instelingen onder "Control Panel\Network and Internet", dat is me niet duidelijk, zoals ik ook 21:40 uur al aangaf.
Ik zie onder "Configuratiescherm\Netwerk en internet" niet direct een optie Geavanceerd.
Wel "Configuratiescherm\Netwerk en internet" en dan Internetopties\ Eigenschappen van internet\ tab Geavanceerd, maar het lijkt erop dat jij iets anders bedoelt.
Kun je misschien nog eens heel precies aangeven hoe en waar je via "Control Panel\Network and Internet" de tab "Advanced" vindt?
Heb je er de tijd of te energie niet voor, laat het dan beslist maar zitten, hoor, want zo relevant is dit allemaal niet, zo lijkt me.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.