TLS gedimų ir skirtojo laiko „Windows“ sistemose sprendimai

Workarounds Tls Failures



TLS gedimų ir skirtojo laiko „Windows“ sistemose sprendimų sąrašas. Taip atsitinka dėl saugos naujinimo diegimo, o kliente ar serveryje nėra EMS.

Jei kyla problemų dėl TLS gedimų ir skirtojo laiko „Windows“ sistemoje, yra keletas dalykų, kuriuos galite padaryti, kad išspręstumėte problemą. Pirmiausia pabandykite padidinti TLS skirtojo laiko reikšmę savo registre. Norėdami tai padaryti, atidarykite registro rengyklę (regedit.exe) ir eikite į šį raktą: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Tada sukurkite naują DWORD reikšmę „EnableTls11“ ir nustatykite ją į 1. Jei tai nepadeda, galite pabandyti išjungti TLS 1.0. Norėdami tai padaryti, atidarykite registro rengyklę ir eikite į šį raktą: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Tada sukurkite naują DWORD reikšmę kiekvienam iš šių protokolų ir nustatykite juos į 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Galiausiai, jei visa kita nepavyksta, galite pabandyti iš naujo įdiegti tinklo adapterio tvarkykles. Paprastai tai yra paskutinė išeitis, tačiau kartais tai gali išspręsti TLS problemas. Jei kyla problemų dėl TLS gedimų ir skirtojo laiko „Windows“ sistemoje, yra keletas dalykų, kuriuos galite padaryti, kad išspręstumėte problemą. Pirmiausia pabandykite padidinti TLS skirtojo laiko reikšmę savo registre. Norėdami tai padaryti, atidarykite registro rengyklę (regedit.exe) ir eikite į šį raktą: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Tada sukurkite naują DWORD reikšmę „EnableTls11“ ir nustatykite ją į 1. Jei tai nepadeda, galite pabandyti išjungti TLS 1.0. Norėdami tai padaryti, atidarykite registro rengyklę ir eikite į šį raktą: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Tada sukurkite naują DWORD reikšmę kiekvienam iš šių protokolų ir nustatykite juos į 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Galiausiai, jei visa kita nepavyksta, galite pabandyti iš naujo įdiegti tinklo adapterio tvarkykles. Paprastai tai yra paskutinė išeitis, tačiau kartais tai gali išspręsti TLS problemas.



1068 klaida spausdinimo spoleris

Mes kalbėjome apie Rankos paspaudimas TLS , ir kaip tai gali nepavykti. Taip pat pažymėjome, kad daug TLS gedimų atsirado dėl to, kad „Microsoft“ bandė taisyti dalykus. Saugos naujinimas CVE-2019-1318 neseniai atšaukė TLS ir SSL. Dėl to TLS ryšiai su pertrūkiais nutrūkdavo arba užtrukdavo ilgai, todėl baigėsi skirtasis laikas. Šiame įraše pasidalinsime TLS gedimų ir skirtojo laiko „Windows“ sistemose sprendimais.





TLS gedimų sprendimas





Dėl šios nuolatinės problemos dažnai pasitaiko šios klaidos:



  • Užklausa atšaukta: nepavyko sukurti saugaus SSL/TLS kanalo.
  • Klaida 0x8009030f
  • Įvykio SCHANNEL 36887 sistemos įvykių žurnale buvo užregistruota klaida su įspėjimo kodu 20 ir aprašymu: „Iš nuotolinio galinio taško gautas kritinis įspėjimas. Mirtinas įspėjimo kodas pagal TLS protokolą - 20.? '

Kokios „Windows“ versijos yra linkusios į TLS gedimus?

Pažeidžiamumas gali suteikti užpuolikui galimybę pradėti žmogaus viduryje ataką. Tai buvo ištaisyta atnaujinus, todėl „Windows“ sistemose atsirado TLS gedimų ir skirtojo laiko.

„Microsoft“ pažymėjo, kad taip nutinka tik tada, kai įrenginiai bando užmegzti TLS ryšį su įrenginiais, kurie nepalaiko „Extended Master Secret“ plėtinio. Jei įrenginiai turi palaikomą versiją, tai neįvyksta. Štai šiuo metu paveiktos „Windows“ versijos:

  1. Windows 10 versija 1607
  2. Windows Server 2016
  3. Windows 10
  4. Windows 8.1
  5. Windows Server 2012 R2
  6. Windows Server 2012
  7. 1 pakeitimų paketas, skirtas „Windows 7“.
  8. 1 pakeitimų paketas, skirtas „Windows Server 2008 R2“.
  9. 2 pakeitimų paketas, skirtas „Windows Server 2008“.

„Windows“ naujinimų sąrašas buvo paveiktas dėl saugos naujinimo

Bet koks naujausias kaupiamasis naujinimas (LCU) arba mėnesinis paketas, išleistas 2019 m. spalio 8 d. arba vėliau, paveiktoms platformoms, gali susidurti su šia problema:



  1. KB4517389 LCU, skirta Windows 10 versijai 1903.
  2. KB4519338 LCU, skirta Windows 10 versijai 1809 ir Windows Server 2019.
  3. KB4520008 LCU, skirtas Windows 10 versijai 1803.
  4. KB4520004 LCU, skirta Windows 10 versijai 1709.
  5. KB4520010 LCU, skirta Windows 10 versijai 1703.
  6. KB4519998 LCU, skirta Windows 10 versijai 1607 ir Windows Server 2016.
  7. KB4520011 LCU, skirta „Windows 10“ 1507 versijai.
  8. KB4520005 mėnesinis naujinimų rinkinys, skirtas Windows 8.1 ir Windows Server 2012 R2.
  9. KB4520007 mėnesinis naujinimų paketas, skirtas Windows Server 2012.
  10. KB4519976 Mėnesinis naujinimų paketas, skirtas Windows 7 SP1 ir Windows Server 2008 R2 SP1.
  11. KB4520002 mėnesinis naujinimų paketas, skirtas Windows Server 2008 SP2
  12. KB4519990 Tik saugos naujinimas, skirtas Windows 8.1 ir Windows Server 2012 R2.
  13. KB4519985 Saugos naujinimas, skirtas tik Windows Server 2012 ir Windows Embedded 8 Standard.
  14. KB4520003 Tik saugos naujinimas, skirtas Windows 7 SP1 ir Windows Server 2008 R2 SP1
  15. KB4520009 Tik saugos naujinimas, skirtas Windows Server 2008 SP2

TLS gedimų ir skirtojo laiko „Windows“ sprendimai

„Microsoft“ teigimu, ten trys būdai ištaisyti TLS strigtis ir skirtąjį laiką.

  1. Įgalinkite EMS tiek kliente, tiek serveryje
  2. Ištrinkite TLS_DHE_* šifravimo rinkinius
  3. Įgalinti / išjungti EMS sistemoje „Windows 10“ / „Windows Server“.

Atminkite, kad problemos sprendimo būdai turi trūkumų, ypač saugumo požiūriu.

1] Įgalinkite EMS tiek kliente, tiek serveryje

Kaip žinome, jei EMS yra įdiegta iš abiejų pusių, tada problemos nėra, todėl sprendimas yra akivaizdus. Nors EMS pagal numatytuosius nustatymus įjungta visuose leidimuose po 2019 m. spalio 8 d., kitu atveju įsitikinkite, kad Įgalinkite plėtinio „Extend Master Secret“ (EMS) palaikymą.

Jei esate IT administratorius, įsitikinkite, kad palaikote EMS atnaujinimą, kaip apibrėžta RFC 7627 pilnai.

2] Pašalinti TLS_DHE_* šifravimo rinkinius

Jei operacinė sistema nepalaiko EMS, IT administratorius turi pašalinti TLS_DHE_* šifrų rinkinius iš TLS kliento įrenginio OS šifrų rinkinių sąrašo. Pilna dokumentacija skirta Priority Schannel Cipher Suites prieinama.

Tačiau tai laikinas pataisymas, o jų išjungimas reiškia tik tai, kad kviečiate ataką tarp žmogaus.

3] Įjungti / išjungti EMS sistemoje „Windows 10“ / „Windows Server“.

Jei dėl kokių nors problemų su TLS išjungėte EMS savo kompiuteryje, naudokite registro nustatymus tiek serveryje, tiek kliente, kad jį įjungtumėte.

  • atviras Registro redaktorius
  • Eikite į HKLM System CurrentControlSet Control SecurityProviders Schannel
    • TLS serveriams: DisableServerExtendedMasterSecret: 0
    • TLS kliente: DisableClientExtendedMasterSecret: 0

Jei jų nėra, galite juos sukurti.

Atsisiųskite „PC Repair Tool“, kad greitai rastumėte ir automatiškai ištaisytumėte „Windows“ klaidas

Tikiuosi, kad šie sprendimai padėjo laikinai išspręsti problemą, su kuria susiduriate dėl TLS. Sekite naujienas, kurios bus išleistos šiai problemai išspręsti.

Populiarios Temos