Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Oppsummering

Transport Layer Security (TLS) 1.0 og 1.1 er sikkerhetsprotokoller for oppretting av krypteringskanaler over datanettverk. Microsoft har støttet dem siden Windows XP og Windows Server 2003. Forskriftsmessige krav endres imidlertid. Det er også nye sikkerhetssvakheter i TLS 1.0. Så Microsoft anbefaler at du fjerner TLS 1.0- og 1.1-avhengigheter. Vi anbefaler også at du deaktiverer TLS 1.0 og 1.1 på operativsystemnivå der det er mulig. Hvis du vil ha mer informasjon, kan du se deaktivering av TLS 1.0 og 1.1. I oppdateringen for forhåndsvisning 20. september 2022 deaktiverer vi TLS 1.0 og 1.1 som standard for programmer basert på winhttp og wininet. Dette er en del av en pågående innsats. Denne artikkelen hjelper deg med å aktivere dem på nytt. Disse endringene gjenspeiles når du installerer Windows-oppdateringer utgitt 20. september 2022.  

Virkemåte ved tilgang til TLS 1.0- og 1.1-koblinger i nettleseren

Etter 20. september 2022 vises en melding når nettleseren åpner et nettsted som bruker TLS 1.0 eller 1.1. Se figur 1. Meldingen sier at nettstedet bruker en utdatert eller usikker TLS-protokoll. Du kan løse dette ved å oppdatere TLS-protokollen til TLS 1.2 eller nyere. Hvis dette ikke er mulig, kan du aktivere TLS som beskrevet i aktivering av TLS versjon 1.1 og nedenfor.

Internet Explorer-vindu ved tilgang til TLS 1.0- og 1.1-kobling

Figur 1: Nettleservindu når du åpner TLS 1.0- og 1.1-nettsiden

Virkemåte ved tilgang til TLS 1.0- og 1.1-koblinger i Winhttp-programmer

Etter oppdateringen kan programmer basert på winhttp mislykkes. Feilmeldingen er «ERROR_WINHTTP_SECURE_FAILURE mens du utfører WinHttpSendRequest-operasjonen».

Virkemåte ved tilgang til TLS 1.0- og 1.1-koblinger i egendefinerte brukergrensesnittprogrammer basert på winhttp eller wininet

Når et program prøver å opprette en tilkobling ved hjelp av TLS 1.1 og under, kan det hende tilkoblingen mislykkes. Når du lukker et program eller slutter å fungere, vises dialogboksen Program Compatibility Assistant (PCA) som vist i Figur 2.

Hurtigmeny for Programkompatibilitetsassistent etter lukking av programmet

Figur 2: Dialogboksen Programkompatibilitetsassistent etter å ha lukket et program

I PCA-dialogboksen står det «Det kan hende at dette programmet ikke har kjørt riktig.» Under dette finnes det to alternativer:

  • Kjør programmet ved hjelp av kompatibilitetsinnstillinger

  • Dette programmet kjørte på riktig måte

Kjør programmet ved hjelp av kompatibilitetsinnstillinger

Når du velger dette alternativet, åpnes programmet på nytt. Nå fungerer alle koblingene som bruker TLS 1.0 og 1.1 riktig. Fra da av vises ingen PCA-dialogboks. Registerredigering legger til oppføringer i følgende baner:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Hvis du velger dette alternativet ved en feiltakelse, kan du slette disse oppføringene. Hvis du sletter dem, ser du PCA-dialogboksen neste gang du åpner appen.

Liste over programmer som skal være kjørt ved hjelp av kompatibilitetsinnstillinger

Figur 3: Liste over programmer som skal kjøres ved hjelp av kompatibilitetsinnstillinger

Dette programmet kjørte på riktig måte

Når du velger dette alternativet, lukkes programmet normalt. Neste gang du åpner programmet på nytt, vises ingen PCA-dialogboks. Systemet blokkerer alt TLS 1.0- og 1.1-innhold. Registerredigering legger til følgende oppføring i banen Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Se figur 4. Hvis du velger dette alternativet ved en feiltakelse, kan du slette denne oppføringen. Hvis du sletter oppføringen, ser du PCA-dialogboksen neste gang du åpner appen.

Oppføring i registerredigering som angir at appen kjørte på riktig måte

Figur 4: Oppføring i Registerredigering som sier at appen kjørte riktig

Viktig Eldre TLS-protokoller er bare aktivert for bestemte programmer. Dette gjelder selv om de er deaktivert i systemomfattende innstillinger.

Aktiver TLS versjon 1.1 og under (wininet- og Internet Explorer-innstillinger)

Vi anbefaler ikke å aktivere TLS 1.1 og under fordi de ikke lenger anses som sikre. De er sårbare for ulike angrep, for eksempel POODLE-angrepet. Så før du aktiverer TLS 1.1, gjør du ett av følgende:

  • Kontroller om en nyere versjon av programmet er tilgjengelig.

  • Be apputvikleren om å gjøre konfigurasjonsendringer i appen for å fjerne avhengighet av TLS 1.1 og under.

I tilfelle ingen av løsningene fungerer, finnes det to måter å aktivere eldre TLS-protokoller på i systemomfattende innstillinger:

  • Alternativer for Internett

  • Redigeringsprogram for gruppepolicy

Alternativer for Internett

Hvis du vil åpne Alternativer for Internett, skriver du inn Alternativer for Internett i søkeboksen på oppgavelinjen. Du kan også velge Endre innstillinger fra dialogboksen som vises i Figur 1. Rull ned i Innstillinger-paneletAvansert-fanen. Der kan du aktivere eller deaktivere TLS-protokoller.

Vinduet Alternativer for Internett

Figur 5: Dialogboksen Egenskaper for Internett

Redigeringsprogrammet for gruppepolicy

Hvis du vil åpne gruppepolicy Editor, skriver du inn gpedit.msc i søkeboksen på oppgavelinjen. Et vindu som det som vises i Figur 6, vises. 

Vindu for redigeringsprogram for gruppepolicy

Figur 6: gruppepolicy Redigeringsprogram-vindu

  1. Gå til local computer policy > (datamaskinkonfigurasjon eller brukerkonfigurasjon) > administrative templer > Windows-komponenter > Internet Explorer > Internet Kontrollpanel > Advanced Page > Slå av krypteringsstøtte. Se figur 7.

  2. Dobbeltklikk Slå av krypteringsstøtte.

    Bane til deaktiver krypteringsstøtte i GPedit.msc

    Figur 7: Banen til å deaktivere krypteringsstøtte i gruppepolicy Editor

  3. Velg alternativet Aktivert . Bruk deretter rullegardinlisten til å velge TLS-versjonen du vil aktivere, som vist i figur 8.

    Deaktiver krypteringsstøtte aktivert med rullegardinlisten som viser ulike alternativer

    Figur 8: Aktiver deaktiver krypteringsstøtte og rullegardinliste

Når du aktiverer policyen i redigeringsprogrammet for gruppepolicy, kan du ikke endre den i Alternativer for Internett. Hvis du for eksempel velger Bruk SSL3.0 og TLS 1.0, vil alle andre alternativer være utilgjengelige i Alternativer for Internett. Se figur 9. Du kan ikke endre noen av innstillingene i Alternativer for Internett hvis du aktiverer Deaktiver krypteringsstøtte i gruppepolicy Editor.

Alternativer for Internett med nedtonede SSL- og TLS-innstillinger

Figur 9: Alternativer for Internett som viser utilgjengelige SSL- og TLS-innstillinger

Aktiver TLS versjon 1.1 og under (winhttp-innstillinger)

Se Oppdatering for å aktivere TLS 1.1 og TLS 1.2 som standard sikre protokoller i WinHTTP i Windows.

Viktige registerbaner (wininet- og Internet Explorer-innstillinger)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Her finner du SecureProtocols, som lagrer verdien av de gjeldende aktiverte protokollene hvis du bruker gruppepolicy Editor.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Her finner du SecureProtocols, som lagrer verdien av gjeldende aktiverte protokoller hvis du bruker Alternativer for Internett.

  • gruppepolicy SecureProtocols vil ha prioritet over det som er angitt av Alternativer for Internett.

Aktiver usikker TLS-tilbakefall

Endringene ovenfor aktiverer TLS 1.0 og TLS 1.1. De vil imidlertid ikke aktivere TLS-tilbakefall. Hvis du vil aktivere TLS-tilbakefall, må du angi EnableInsecureTlsFallback til 1 i registeret under banene nedenfor.

  • Slik endrer du innstillinger: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Slik angir du policy: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Hvis EnableInsecureTlsFallback ikke finnes, må du opprette en ny DWORD-oppføring og angi den til 1.

Viktige registerbaner

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Den er USANN som standard. Hvis du angir en verdi som ikke er null, vil programmer ikke angi egendefinerte protokoller ved hjelp av winhttp-alternativet.

  2. EnableInsecureTlsFallback 

    • Slik endrer du innstillinger: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Slik angir du policy: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Den er USANN som standard. Hvis du angir en verdi som ikke er null, kan programmer falle tilbake til usikre protokoller (TLS1.0 og 1.1) hvis håndtrykket mislykkes med sikre protokoller (tls1.2 og høyere).

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.