Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Sammendrag

TLS (Transport Layer Security) 1.0 og 1.1 er sikkerhedsprotokoller til oprettelse af krypteringskanaler via computernetværk. Microsoft har understøttet dem siden Windows XP og Windows Server 2003. Lovgivningsmæssige krav ændres dog. Der er også nye sikkerhedssvagheder i TLS 1.0. Så Microsoft anbefaler, at du fjerner afhængigheder af TLS 1.0 og 1.1. Vi anbefaler også, at du deaktiverer TLS 1.0 og 1.1 på operativsystemniveau, hvor det er muligt. Du kan finde flere oplysninger under TLS 1.0- og 1.1-deaktivering. I forhåndsvisningsopdateringen for 20. september 2022 deaktiverer vi som standard TLS 1.0 og 1.1 for programmer, der er baseret på winhttp og wininet. Dette er en del af en løbende indsats. Denne artikel hjælper dig med at genaktivere dem. Disse ændringer afspejles, når du har installeret Windows-opdateringer, der er udgivet den 20. september 2022 eller derefter.  

Funktionsmåde ved adgang til TLS 1.0- og 1.1-links i browseren

Efter d. 20. september 2022 vises der en meddelelse, når browseren åbner et websted, der bruger TLS 1.0 eller 1.1. Se Figur 1. Meddelelsen angiver, at webstedet bruger en forældet eller usikker TLS-protokol. Du kan løse dette ved at opdatere TLS-protokollen til TLS 1.2 eller nyere. Hvis dette ikke er muligt, kan du aktivere TLS som beskrevet i Enabling TLS version 1.1 and below.

Internet Explorer-vindue, når du åbner TLS 1.0- og 1.1-link

Figur 1: Browservindue, når du åbner websiden TLS 1.0 og 1.1

Funktionsmåde ved adgang til TLS 1.0- og 1.1-links i winhttp-programmer

Efter opdateringen mislykkes programmer, der er baseret på winhttp, muligvis. Fejlmeddelelsen er "ERROR_WINHTTP_SECURE_FAILURE under udførelse af WinHttpSendRequest-handlingen.".

Funktionsmåde ved adgang til TLS 1.0- og 1.1-links i brugerdefinerede brugergrænsefladeprogrammer, der er baseret på winhttp eller wininet

Når et program forsøger at oprette en forbindelse ved hjælp af TLS 1.1 og nedenfor, kan forbindelsen se ud til at mislykkes. Når du lukker et program, eller det holder op med at fungere, vises dialogboksen Programkompatibilitetsassistent (PCA) som vist i Figur 2.

Pop op-vinduet Programkompatibilitetsassistent, når programmet er lukket

Figur 2: Dialogboksen Programkompatibilitetsassistent, når du har lukket et program

I pca-dialogboksen står der "Dette program kører muligvis ikke korrekt.". Under det er der to muligheder:

  • Kør programmet ved hjælp af kompatibilitetsindstillinger

  • Dette program kørte korrekt

Kør programmet ved hjælp af kompatibilitetsindstillinger

Når du vælger denne indstilling, genåbnes programmet. Nu fungerer alle de links, der bruger TLS 1.0 og 1.1, korrekt. Derefter vises der ingen pcA-dialogboks. Registreringseditor føjer poster til følgende stier:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Hvis du har valgt denne indstilling ved en fejl, kan du slette disse poster. Hvis du sletter dem, vises dialogboksen PCA, næste gang du åbner appen.

Liste over programmer, der skal udføres ved hjælp af kompatibilitetsindstillinger

Figur 3: Liste over programmer, der skal køre ved hjælp af kompatibilitetsindstillinger

Dette program kørte korrekt

Når du vælger denne indstilling, lukkes programmet normalt. Næste gang du åbner programmet igen, vises der ingen pcA-dialogboks. Systemet blokerer alt TLS 1.0- og 1.1-indhold. Registreringseditor føjer følgende post til stien Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Se Figur 4. Hvis du har valgt denne indstilling ved en fejl, kan du slette denne post. Hvis du sletter posten, vises pca-dialogboksen, næste gang du åbner appen.

Post i registreringseditor, der angiver, at appen kørte korrekt

Figur 4: Post i Registreringseditor, der angiver, at appen kørte korrekt

Vigtigt Ældre TLS-protokoller er kun aktiveret for bestemte programmer. Dette gælder, selvom de er deaktiveret i indstillinger for hele systemet.

Aktivér TLS version 1.1 og nedenfor (wininet- og Internet Explorer-indstillinger)

Vi anbefaler ikke, at du aktiverer TLS 1.1 og nedenfor, da de ikke længere betragtes som sikre. De er sårbare over for forskellige angreb, såsom POODLE angreb. Før du aktiverer TLS 1.1, skal du derfor gøre et af følgende:

  • Kontrollér, om der findes en nyere version af programmet.

  • Bed appudvikleren om at foretage konfigurationsændringer i appen for at fjerne afhængigheden af TLS 1.1 og nedenfor.

Hvis ingen af løsningerne fungerer, er der to måder at aktivere ældre TLS-protokoller på i indstillinger for hele systemet:

  • Internetindstillinger

  • Redigeringsprogram til gruppepolitik

Internetindstillinger

Hvis du vil åbne Internetindstillinger, skal du skrive Internetindstillinger i søgefeltet på proceslinjen. Du kan også vælge Skift indstillinger i den dialogboks, der vises i Figur 1. På fanen Avanceret skal du rulle ned i panelet Indstillinger . Der kan du aktivere eller deaktivere TLS-protokoller.

Vinduet Internetindstillinger

Figur 5: Dialogboksen Internetegenskaber

Editor til Gruppepolitik

Hvis du vil åbne Gruppepolitik Editor, skal du skrive gpedit.msc i søgefeltet på proceslinjen. Et vindue som det, der vises i Figur 6, vises. 

Redigeringsprogram til gruppepolitik

Figur 6: vinduet Gruppepolitik Editor

  1. Gå til >(Computerkonfiguration eller Brugerkonfiguration) > Administrative Templets > Windows-komponenter > Internet Explorer > Internet Kontrolpanel > Avanceret side > Slå understøttelse af kryptering fra. Se figur 7.

  2. Dobbeltklik på Slå understøttelse af kryptering fra.

    Sti til deaktivering af kryptering i GPedit.msc

    Figur 7: Sti til deaktivering af understøttelse af kryptering i Gruppepolitik Editor

  3. Vælg indstillingen Aktiveret . Brug derefter rullelisten til at vælge den TLS-version, du vil aktivere, som vist i Figur 8.

    Slå understøttelse af kryptering aktiveret fra med rullemenuen, der viser forskellige indstillinger

    Figur 8: Aktivér Deaktiver understøttelse af kryptering og rulleliste

Når du har aktiveret politikken i Gruppepolitik Editor, kan du ikke ændre den i Internetindstillinger. Hvis du f.eks. vælger Brug SSL3.0 og TLS 1.0, er alle andre indstillinger ikke tilgængelige i Internetindstillinger. Se figur 9. Du kan ikke ændre nogen af indstillingerne i Internetindstillinger, hvis du aktiverer Slå understøttelse af kryptering fra i Gruppepolitik Editor.

Internetindstillinger med nedtonede SSL- og TLS-indstillinger

Figur 9: Internetindstillinger viser utilgængelige SSL- og TLS-indstillinger

Aktivér TLS version 1.1 og nedenfor (winhttps://settings)

Se Opdatering for at aktivere TLS 1.1 og TLS 1.2 som standard sikre protokoller i WinHTTP i Windows.

Vigtige stier i registreringsdatabasen (wininet- og Internet Explorer-indstillinger)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Her kan du finde SecureProtocols, som gemmer værdien af de aktuelt aktiverede protokoller, hvis du bruger Gruppepolitik Editor.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Her kan du finde SecureProtocols, som gemmer værdien af aktuelt aktiverede protokoller, hvis du bruger Internetindstillinger.

  • Gruppepolitik SecureProtocols tilsidesætter den, der er angivet af Internetindstillinger.

Aktivering af usikker TLS fallback

Ændringerne ovenfor aktiverer TLS 1.0 og TLS 1.1. De vil dog ikke aktivere TLS-fallback. Hvis du vil aktivere TLS fallback, skal du angive EnableInsecureTlsFallback til 1 i registreringsdatabasen under stierne nedenfor.

  • Sådan ændrer du indstillingerne: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.office.office.int/office/da-DK/

  • Sådan angives politik: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Hvis EnableInsecureTlsFallback ikke findes, skal du oprette en ny DWORD-post og angive den til 1.

Vigtige stier i registreringsdatabasen

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support. 

    • Det er FALSK som standard. Hvis du angiver en værdi, der ikke er nul, forhindres programmer i at angive brugerdefinerede protokoller ved hjælp af winhttp-indstillingen.

  2. EnableInsecureTlsFallback 

    • Sådan ændrer du indstillingerne: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.office.office.int/office/da-DK/

    • Sådan angives politik: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Det er FALSK som standard. Hvis du angiver en værdi, der ikke er nul, kan programmer vende tilbage til usikre protokoller (TLS1.0 og 1.1), hvis handshake mislykkes med sikre protokoller (tls1.2 og nyere).

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.