Mann, die alten TLS-Versionen unter Windows loszuwerden, kann echt nervig sein. Manchmal reicht es nicht, nur die Registry zu bearbeiten, vor allem, wenn man sichergehen will, dass alles mit den aktuellen Standards wie TLS 1.2 oder 1.3 kommuniziert. Wenn du die Sicherheit erhöhen und verhindern willst, dass veraltete Protokolle dein System ausbremsen, hat dieser Leitfaden ein paar Tricks parat. Du lernst, wie du TLS 1.0 und 1.1 systemweit deaktivierst – entweder per Gruppenrichtlinie oder durch direkte Registry-Bearbeitung – und wie du sicherstellst, dass deine Anwendungen und Browser die neueren, sichereren Protokolle verwenden. Das Ziel? Potenzielle Sicherheitslücken durch alte TLS-Versionen zu schließen. Aber sei dir bewusst: Manchmal lässt sich das nicht vermeiden, auch ältere Anwendungen nicht mehr nutzen zu können. Und ja, Neustarts oder das Neustarten von Diensten gehören dazu. Denn natürlich muss Windows es einem unnötig schwer machen.
So deaktivieren Sie ältere TLS-Versionen in Windows
Methode 1: Blockieren alter TLS-Protokolle mithilfe von Gruppenrichtlinien
Dies ist die sauberere, zentrale Methode – ideal für Domänenumgebungen. Dabei wird die Richtlinie „Verschlüsselungsunterstützung deaktivieren“ konfiguriert, die im Wesentlichen die für Browser und Systemkomponenten verfügbaren TLS/SSL-Versionen einschränkt. Normalerweise betrifft dies Internet Explorer und einige Windows-Komponenten, hat aber auch Auswirkungen auf andere Anwendungen, die auf WinHTTP- oder SCHANNEL-Konfigurationen basieren.
Warum es hilft: Es verhindert, dass Benutzereinstellungen alte Kryptoversionen wieder aktivieren und sorgt so für hohe Sicherheit auf allen Rechnern in einer Domäne. So funktioniert es: Nach Anwendung der Gruppenrichtlinie und Neustart sind nur die von Ihnen ausgewählten TLS-Versionen verfügbar.Ältere Protokolle wie TLS 1.0/1.1 werden deaktiviert – vorausgesetzt, Sie haben die entsprechenden Kontrollkästchen aktiviert.
In der Praxis: Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internet Explorer-Systemsteuerung > Seite „Erweitert“.Aktivieren Sie anschließend die Einstellung „Verschlüsselungsunterstützung deaktivieren“ und wählen Sie die unterstützten Protokolle aus der Dropdown-Liste „Sichere Protokollkombinationen“ aus. Dies entspricht dem DWORD-Wert „ SecureProtocols “ in der Registrierung HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.
Nicht vergessen: Ein Neustart ist erforderlich, damit die Richtlinien wirksam werden. Bei manchen Systemen werden die Änderungen nicht sofort wirksam, und ohne Neustart wird möglicherweise eine Meldung wie „Einige Einstellungen werden von Ihrem Systemadministrator verwaltet“ angezeigt. Außerdem deaktiviert diese Methode die TLS 1.0/1.1-Unterstützung für serverseitige Dienste wie IIS oder Exchange nicht vollständig – das ist ein anderes Thema.
Methode 2: Registry-Anpassungen für eine detailliertere Steuerung
Das ist zwar etwas umständlich, aber flexibler. Sie bearbeiten die Registry-Einträge direkt unter HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. Sie können Schlüssel hinzufügen oder ändern, um bestimmte TLS-Versionen wie TLS 1.0 und TLS 1.1 zu deaktivieren und TLS 1.2 explizit zu aktivieren. Dadurch haben Sie eine präzisere Kontrolle darüber, was für Clients und Server aktiviert oder deaktiviert ist.
Warum das hilfreich ist: Sie können TLS 1.0 und 1.1 vollständig deaktivieren, auch auf Serverkomponenten, indem Sie diese Schlüssel hinzufügen:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Clients] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Servers] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 Und um TLS 1.2 zu erzwingen, fügen Sie Folgendes hinzu:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Clients] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Servers] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 Diese Methode ist robuster, erfordert jedoch einen Neustart des Systems oder des Dienstes. Auf manchen betroffenen Systemen kann es etwas kompliziert werden, wenn Sicherheitsrichtlinien die Bearbeitung der Registrierung einschränken oder verhindern – gehen Sie daher mit Vorsicht vor und testen Sie die Methode vorher.
Methode 3: Verwendung von Registrierungsdateien für die Bereitstellung
Sie haben mehrere Rechner? Anstatt jeden einzelnen zu bearbeiten, erstellen Sie einfach eine einfache Registry-Datei mit den gewünschten Änderungen und verteilen Sie diese per Gruppenrichtlinie, MDT oder SCCM. Speichern Sie Ihre Registry-Anpassungen in einer .regDatei und importieren Sie diese gesammelt. So gewährleisten Sie Konsistenz in Ihrer gesamten Umgebung, ohne auf jedem Rechner manuell Änderungen vornehmen zu müssen.
Zusätzliche Informationen: Apps und Systemeinstellungen auf Kompatibilität optimieren
Hier wird es etwas knifflig. Anwendungen wie Outlook oder andere WinHTTP-basierte Anwendungen verwenden möglicherweise weiterhin standardmäßig TLS 1.0/1.1, sofern Sie Windows nicht explizit anweisen, TLS 1.2 zu bevorzugen. Dazu müssen Sie bestimmte Registrierungsschlüssel anpassen, wie zum Beispiel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 Gleiches gilt für WinHTTP, zusätzlich:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 Hinweis: Unter Windows Server können Sie auch die IISCrypto-GUI verwenden, um die SCHANNEL-Einstellungen visuell anzupassen – wahrscheinlich einfacher, wenn Ihnen die Bearbeitung der Registrierung zu kompliziert ist.
Vergessen Sie nach all dem nicht, Ihren Rechner neu zu starten.Änderungen an der Registrierung oder Gruppenrichtlinien werden erst nach dem Systemneustart wirksam. Testen Sie diese Einstellungen nach Möglichkeit immer in einer kontrollierten Umgebung, um unerwartete Probleme zu vermeiden.
Zusammenfassung
- Alte TLS-Versionen über die Registrierung oder Gruppenrichtlinien deaktivieren.
- Stellen Sie sicher, dass die Apps die neuen Einstellungen berücksichtigen, indem Sie ihre Registrierungskonfigurationen anpassen.
- Nach jeder Änderung muss der Computer neu gestartet werden – manchmal ist dies mehrmals erforderlich.
- Vor der netzwerkweiten Bereitstellung gründlich testen.
Zusammenfassung
Dies ist keine einfache Lösung, bei der man einfach drauflosklickt – das Deaktivieren von TLS 1.0 und 1.1 erfordert etwas Aufwand, ist aber aus Sicherheitsgründen sinnvoll. Registry-Anpassungen sind am zuverlässigsten, insbesondere wenn Sie sicherstellen möchten, dass alle Ihre Dienste die neuesten und sichersten Protokolle verwenden. Beachten Sie jedoch: Ältere Systeme könnten dadurch beeinträchtigt werden. Daher ist es ratsam, vorher zu testen. Hoffentlich erspart dies jemandem stundenlanges Grübeln.