Man, het kan een hele klus zijn om van die oude TLS-versies op Windows af te komen. Soms is het aanpassen van het register alleen niet genoeg, vooral als je ervoor wilt zorgen dat alles de juiste taal spreekt – zoals moderne TLS 1.2 of 1.3. Als je de beveiliging wilt versterken en wilt voorkomen dat verouderde protocollen je systeem vertragen, biedt deze handleiding een paar handige tips. Je leert hoe je TLS 1.0 en 1.1 systeembreed uitschakelt – via GPO of rechtstreeks via het register – en hoe je ervoor zorgt dat je apps en browsers de nieuwere, veiligere protocollen gebruiken. Het doel? Potentiële beveiligingslekken door oude TLS-versies voorkomen, maar wees je ervan bewust dat het soms onvermijdelijk is dat verouderde apps niet meer werken. En ja, het opnieuw opstarten van systemen of services hoort erbij. Want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig is.
Hoe schakel ik verouderde TLS-versies uit in Windows?
Methode 1: Groepsbeleid gebruiken om oude TLS-protocollen te blokkeren
Dit is de schonere, gecentraliseerde manier – perfect voor domeinomgevingen. Het idee is om het beleid ‘Versleuteling uitschakelen’ te configureren, waarmee in feite wordt beperkt welke TLS/SSL-versies beschikbaar zijn voor browsers en systeemcomponenten. Meestal geldt dit voor Internet Explorer en sommige Windows-componenten, maar het heeft ook gevolgen voor andere apps die afhankelijk zijn van WinHTTP- of SCHANNEL-configuraties.
Waarom het helpt: het voorkomt dat gebruikersinstellingen oude cryptografische versies opnieuw inschakelen, waardoor de beveiliging op alle machines in een domein optimaal blijft. Wanneer het werkt: na het toepassen van het groepsbeleidsobject en het opnieuw opstarten zijn alleen de door u geselecteerde TLS-versies beschikbaar en worden oudere protocollen zoals TLS 1.0/1.1 uitgeschakeld (ervan uitgaande dat u die vakjes hebt aangevinkt).
In de praktijk: u moet in de GPO-editor navigeren naar Computerconfiguratie > Administratieve sjablonen > Windows-onderdelen > Internet Explorer > Configuratiescherm van Internet Explorer > Geavanceerde pagina. Schakel vervolgens de instelling ‘Ondersteuning voor versleuteling uitschakelen’ in en selecteer de ondersteunde protocollen in de vervolgkeuzelijst ‘Beveiligde protocolcombinaties’. Dit komt overeen met de DWORD-waarde SecureProtocols in het register op HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.
Vergeet niet: een herstart is nodig om de beleidsregels van kracht te laten worden. In sommige configuraties worden de wijzigingen niet direct doorgevoerd en kunt u een gebruikersbericht zien zoals ‘Sommige instellingen worden beheerd door uw systeembeheerder’ als u niet opnieuw opstart. Deze methode schakelt bovendien de TLS 1.0/1.1-ondersteuning voor serverdiensten zoals IIS of Exchange niet volledig uit – dat is een ander verhaal.
Methode 2: Aanpassingen aan het register voor een meer gedetailleerde controle
Dit is misschien wat onhandig, maar wel flexibeler. Je past de registervermeldingen direct aan HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. Je voegt sleutels toe of wijzigt ze om specifieke TLS-versies uit te schakelen, zoals TLS 1.0 en TLS 1.1, en TLS 1.2 expliciet in te schakelen. Dit geeft je meer controle over wat er voor zowel clients als servers is in- of uitgeschakeld.
Waarom dit helpt: Je kunt TLS 1.0 en 1.1 volledig uitschakelen, ook op servercomponenten, door deze sleutels toe te voegen:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Clients] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Servers] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000
En om TLS 1.2 geforceerd in te schakelen, voeg je het volgende toe:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Clients] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Servers] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
Deze methode is robuuster, maar vereist een herstart van de computer of een service om de wijzigingen toe te passen. Op sommige gemarkeerde machines kan het wat lastig zijn als beveiligingsbeleid het bewerken van het register overschrijft of blokkeert. Ga daarom voorzichtig te werk en test het eerst.
Methode 3: Implementatie met behulp van registerbestanden
Heb je veel machines? In plaats van elke machine afzonderlijk aan te passen, kun je eenvoudig een registerbestand maken met de gewenste wijzigingen en dit implementeren via GPO, MDT of SCCM. Sla je registeraanpassingen op in een .regbestand en importeer dit vervolgens in één keer. Zo zorg je voor consistentie in je hele omgeving zonder dat je op elke machine afzonderlijk hoeft te klikken.
Extra tip: Pas de app- en systeeminstellingen aan voor compatibiliteit.
Hier wordt het lastig. Apps zoals Outlook of andere WinHTTP-gebaseerde apps gebruiken mogelijk nog steeds standaard TLS 1.0/1.1, tenzij je Windows expliciet instrueert om TLS 1.2 te gebruiken. Om dat te doen, moet je specifieke registerinstellingen aanpassen, zoals:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001
Hetzelfde geldt voor WinHTTP, voeg het volgende toe:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800
Let op: op Windows Server kunt u ook de IISCrypto GUI gebruiken voor een visuele manier om SCHANNEL-instellingen aan te passen. Dit is waarschijnlijk eenvoudiger als u al hoofdpijn krijgt van het bewerken van het register.
Vergeet na al deze stappen niet uw computer opnieuw op te starten. Wijzigingen in het register of groepsbeleidsobjecten (GPO’s) hebben pas effect nadat het systeem is vernieuwd. Test deze instellingen bovendien altijd in een gecontroleerde omgeving om onverwachte problemen te voorkomen.
Samenvatting
- Schakel oude TLS-versies uit via het register of GPO.
- Zorg ervoor dat apps de nieuwe instellingen respecteren door hun registerconfiguraties aan te passen.
- Start de computer opnieuw op na het aanbrengen van wijzigingen – soms meerdere keren.
- Test grondig voordat u het in uw netwerk implementeert.
Samenvatting
Dit is niet zomaar een kwestie van klikken en hopen dat het werkt – het uitschakelen van TLS 1.0 en 1.1 vergt wat moeite, maar het is de moeite waard voor de beveiliging. Aanpassingen in het register zijn het meest betrouwbaar, vooral als je er zeker van wilt zijn dat al je services de nieuwste en veiligste protocollen gebruiken. Houd er wel rekening mee dat sommige verouderde systemen mogelijk niet meer werken, dus het is verstandig om eerst te testen. Hopelijk bespaart dit iemand een paar uur gepuzzel.