Hoe u de TLS-versie op Windows Server kunt verifiëren voor verbeterde beveiliging

Het controleren van de TLS-versie op een Windows-server kan wat lastig zijn als je niet gewend bent om het register door te spitten, maar eerlijk gezegd valt het wel mee als je eenmaal weet waar je moet zoeken. Soms hebben servers nog steeds oude TLS-versies ingeschakeld, en dat is een beveiligingsrisico – vooral omdat TLS 1.0 en 1.1 nu als verouderd en kwetsbaar worden beschouwd. Andere keren worden de instellingen willekeurig aangepast, of ondersteunt de server gewoon een aantal oude protocollen voor compatibiliteit, die je waarschijnlijk niet meer wilt. Controleren welke TLS-versies actief zijn, helpt dus om alles veilig te houden en voorkomt ook vreemde fouten met moderne clients.

Hoe u de TLS-versie op Windows Server kunt controleren

Toegang tot het register – De eerste stap

Je begint met het openen van de Register-editor. Dit is de belangrijkste plek in Windows waar alle gedetailleerde instellingen voor je beveiligingsprotocollen worden opgeslagen. Druk op Windows key + R, typ regediten druk op Enter. Precies, net alsof je een obscuur probleem probeert op te lossen. Maar wees voorzichtig: blijf niet doelloos rondklikken als je het niet zeker weet. Meestal is het verstandig om eerst een back-up van het register te maken, voor de zekerheid. Uit ervaring blijkt dat het in sommige configuraties ook de moeite waard is om je regeditals beheerder aan te melden voor volledige toegang.

Navigeren naar het juiste registerpad

Ga binnenin naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. Hier bewaart Windows informatie over ondersteunde beveiligingsprotocollen zoals TLS. Soms is deze verborgen achter subsleutels, dus moet u de mappen hier uitvouwen. Als u bepaalde protocolmappen, zoals TLS 1.0 of TLS 1.2, niet ziet, kan dit betekenen dat ze zijn uitgeschakeld of niet geïnstalleerd, afhankelijk van uw Windows-versie.

Graven in de protocol-submappen

Binnen Protocollen ziet u mappen met de namen van elke TLS-versie, zoals TLS 1.0, TLS 1.1 en TLS 1.2. Zoek, zodra u de mappen uitvouwt, naar sleutels met de naam Enabled en DisabledByDefault. Net als de meeste mensen wilt u de versie die u actief wilt hebben, Enabledop 1DisabledByDefault zetten. En als u een versie ziet staan, is dat waarschijnlijk een teken dat deze is uitgeschakeld, tenzij u die instelling omschakelt om deze in te schakelen.

De instellingen controleren en de nieuwste TLS inschakelen

Dit is een beetje vreemd, maar op sommige servers kan de sleutel ‘Ingeschakeld’ ontbreken of verkeerd zijn ingesteld. Zorg ervoor dat deze aanwezig is en op 1 staat voor de protocollen die u actief wilt hebben. Voor betere beveiliging kunt u oudere protocollen zoals TLS 1.0 en 1.1 uitschakelen door hun ‘Ingeschakeld’ op 0 te zetten. Dit helpt kwetsbare handshakes en exploits te voorkomen. Na het aanbrengen van wijzigingen moet u de server mogelijk opnieuw opstarten, of in ieder geval de bijbehorende services opnieuw opstarten. Soms lost een herstart de problemen echter al op, omdat Windows de nieuwe registerwaarden toepast.

Ter info: dit is niet altijd perfect. In sommige configuraties worden registerwijzigingen mogelijk genegeerd als er groepsbeleid is dat deze overschrijft. Maar toch is het een goede manier om inzicht te krijgen in wat er is ingeschakeld.

Tips voor het controleren van de TLS-versie op Windows Server

  • Zorg dat u op de hoogte bent van de nieuwste TLS-versies (bijvoorbeeld TLS 1.2 en 1.3, indien ondersteund).
  • Denk erover na om TLS 1.0 en 1.1 uit te schakelen als deze nog in omloop zijn. Ze zijn nu namelijk vrijwel verouderd.
  • Maak er een gewoonte van om de instellingen voor het beveiligingsprotocol te controleren na grote updates of serverwijzigingen.
  • Controleer de serverlogboeken als u vreemde verbindingsproblemen opmerkt na het wisselen van protocollen.

Veelgestelde vragen

Waarom is het belangrijk om TLS te controleren?

Omdat verouderde TLS-versies een achterdeur kunnen zijn voor aanvallers, en moderne clients mogelijk weigeren verbinding te maken als ze geen goede ondersteuning krijgen. Door uw server up-to-date te houden, minimaliseert u deze risico’s.

Kan ik meerdere TLS-versies tegelijkertijd gebruiken?

Ja, dat is gebruikelijk. Meestal is het beter om de nieuwste versie ingeschakeld te hebben en oudere, onveilige versies uit te schakelen. Maar als je compatibiliteit nodig hebt, houd je er soms een paar ingeschakeld. Houd er rekening mee dat de snelste en veiligste versies altijd de voorkeur hebben.

Is het bewerken van het register gevaarlijk?

Dat kan gebeuren als je niet weet wat je doet, maar als je eerst een back-up maakt en de instructies nauwkeurig opvolgt, is het meestal veilig. Toch kan één verkeerde wijziging vreemde fouten veroorzaken, dus wees voorzichtig.

Wat moet ik doen als ik oude TLS-versies ingeschakeld zie?

Schakel ze uit door ‘Ingeschakeld’ op 0 te zetten. Controleer vervolgens of je server of apps nog steeds goed werken. Zo ja, dan is dat prima. Zo niet, dan heb je misschien een andere aanpak nodig, maar over het algemeen is het beter om alles up-to-date te houden.

Hoe vaak moet ik controleren?

Minimaal eens per kwartaal, vooral als uw server gevoelige informatie verwerkt of op internet is aangesloten; vaker als u TLS of beveiligingsbeleid bijwerkt.

Samenvatting

  • Open regedit met beheerdersrechten.
  • Navigeer naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
  • Controleer in elke TLS-versiemap of er Enabled en DisabledByDefault staat.
  • Zorg ervoor dat de nieuwste TLS-versies actief zijn en dat de oude versies zijn uitgeschakeld.
  • Start indien nodig opnieuw op om de wijzigingen toe te passen.

Afronding

Soms is gewoon even in het register rondneuzen al voldoende om te zien wat je server ondersteunt. Het is best lastig, maar kennis van je TLS-landschap helpt je om onaangename verrassingen in de toekomst te voorkomen. In één configuratie bleek TLS 1.0 nog steeds ingeschakeld te zijn, maar ik heb dat uitgezet. Daarna voelde alles veel veiliger. Eerlijk gezegd is het een eenvoudige stap die later veel hoofdpijn kan besparen. Ik hoop dat dit anderen helpt om hun serverbeveiliging op orde te krijgen zonder hun verstand te verliezen.