TLS-i tõrgete ja ajalõpu lahendused Windowsi süsteemides

Workarounds Tls Failures



TLS-i tõrgete ja ajalõpu lahenduste loend Windowsi süsteemides. See juhtub turvavärskenduste juurutamise tõttu, kliendis või serveris pole EMS-i.

Kui teil on Windowsi süsteemis probleeme TLS-i tõrgete ja ajalõppudega, saate probleemi lahendamiseks teha mõned toimingud. Esiteks proovige oma registris TLS-i ajalõpu väärtust suurendada. Selleks avage registriredaktor (regedit.exe) ja minge järgmisele võtmele: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Seejärel looge uus DWORD-väärtus nimega 'EnableTls11' ja määrake selle väärtuseks 1. Kui see ei aita, võite proovida TLS 1.0 keelata. Selleks avage registriredaktor ja minge järgmisele võtmele: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Seejärel looge iga järgmise protokolli jaoks uus DWORD-väärtus ja määrake need väärtuseks 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Lõpuks, kui kõik muu ebaõnnestub, võite proovida võrguadapteri draiverid uuesti installida. Tavaliselt on see viimane abinõu, kuid mõnikord võib see lahendada TLS-i probleeme. Kui teil on Windowsi süsteemis probleeme TLS-i tõrgete ja ajalõppudega, saate probleemi lahendamiseks teha mõned toimingud. Esiteks proovige oma registris TLS-i ajalõpu väärtust suurendada. Selleks avage registriredaktor (regedit.exe) ja minge järgmisele võtmele: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Seejärel looge uus DWORD-väärtus nimega 'EnableTls11' ja määrake selle väärtuseks 1. Kui see ei aita, võite proovida TLS 1.0 keelata. Selleks avage registriredaktor ja minge järgmisele võtmele: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Seejärel looge iga järgmise protokolli jaoks uus DWORD-väärtus ja määrake need väärtuseks 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Lõpuks, kui kõik muu ebaõnnestub, võite proovida võrguadapteri draiverid uuesti installida. Tavaliselt on see viimane abinõu, kuid mõnikord võib see lahendada TLS-i probleeme.



Me rääkisime sellest Käepigistus TLS ja kuidas see võib ebaõnnestuda. Samuti märkisime, et paljud TLS-i tõrked olid tingitud sellest, et Microsoft üritas asju parandada. Turvavärskendus CVE-2019-1318 tõi kaasa hiljutise TLS-i ja SSL-i tagasivõtmise. See põhjustas TLS-ühenduste katkendliku tõrkeid või võttis kaua aega, mille tulemuseks oli ajalõpp. Selles postituses jagame Windowsi süsteemide TLS-i tõrgete ja ajalõpu lahendusi.







TLS-i tõrgete lahendus





Selle jätkuva probleemi tõttu on tavalised järgmised vead.



kustuta fail PowerShell
  • Taotlus katkestati: SSL/TLS turvalise kanali loomine ebaõnnestus.
  • Viga 0x8009030f
  • Sündmuse SCHANNEL 36887 süsteemi sündmuste logisse logiti tõrge hoiatuskoodiga 20 ja kirjeldusega: „Kauglõpp-punktist saadi kriitiline hoiatus. Surmav hoiatuskood TLS-protokolli järgi - 20.? '

Millised Windowsi versioonid on altid TLS-i tõrgetele?

Haavatavus võib anda ründajale võimaluse käivitada mees-keskrünnak. Selle parandas värskendus ja see põhjustas Windowsi süsteemides TLS-i tõrkeid ja aegumist.

Microsoft märkis, et see juhtub ainult siis, kui seadmed üritavad luua TLS-ühendusi seadmetega, mis ei toeta Extended Master Secret laiendust. Kui seadmetel on toetatud versioon, siis seda ei juhtu. Siin on praegu mõjutatud Windowsi versioonid:

  1. Windows 10 versioon 1607
  2. Windows Server 2016
  3. Windows 10
  4. Windows 8.1
  5. Windows Server 2012 R2
  6. Windows Server 2012
  7. Service Pack 1 Windows 7 jaoks
  8. Service Pack 1 Windows Server 2008 R2 jaoks
  9. Service Pack 2 Windows Server 2008 jaoks

Turvavärskenduse tõttu mõjutatud Windowsi värskenduste loend

Mõjutatud platvormidele 8. oktoobril 2019 või hiljem avaldatud uusimate kumulatiivsete värskenduste (LCU) või igakuiste koondfailide puhul võib ilmneda järgmine probleem.



regdiff
  1. KB4517389 LCU Windows 10 versioonile 1903.
  2. KB4519338 LCU Windows 10 versiooni 1809 ja Windows Server 2019 jaoks.
  3. KB4520008 LCU Windows 10 versioonile 1803.
  4. KB4520004 LCU Windows 10 versioonile 1709.
  5. KB4520010 LCU Windows 10 versioonile 1703.
  6. KB4519998 LCU Windows 10 versiooni 1607 ja Windows Server 2016 jaoks.
  7. KB4520011 LCU Windows 10 versioonile 1507.
  8. KB4520005 igakuine värskenduskomplekt Windows 8.1 ja Windows Server 2012 R2 jaoks.
  9. KB4520007 igakuine värskenduskomplekt Windows Server 2012 jaoks.
  10. KB4519976 igakuine värskenduskomplekt Windows 7 hoolduspaketi SP1 ja Windows Server 2008 R2 hoolduspaketi SP1 jaoks.
  11. KB4520002 igakuine värskenduskomplekt Windows Server 2008 hoolduspaketi SP2 jaoks
  12. KB4519990 Ainult turbevärskendus operatsioonisüsteemidele Windows 8.1 ja Windows Server 2012 R2.
  13. KB4519985 Turvavärskendus ainult Windows Server 2012 ja Windows Embedded 8 Standard jaoks.
  14. KB4520003 Ainult turvavärskendus Windows 7 hoolduspaketi SP1 ja Windows Server 2008 R2 hoolduspaketi SP1 jaoks
  15. KB4520009 Ainult turvavärskendus Windows Server 2008 hoolduspaketi SP2 jaoks

TLS-i tõrgete ja ajalõpu lahendused Windowsis

Microsofti sõnul on seal kolmel viisil TLS-i krahhide ja ajalõppude parandamiseks.

  1. Luba EMS nii kliendis kui serveris
  2. Kustutage TLS_DHE_* šifrikomplektid
  3. Lubage / keelake EMS operatsioonisüsteemis Windows 10 / Windows Server

Pidage meeles, et lahendustel on puudusi, eriti turvalisuse osas.

chkdsk käitab kõiki boote

1] Lubage EMS nii kliendis kui ka serveris

Nagu me teame, kui EMS on paigaldatud mõlemale poole, siis pole probleemi, seega on lahendus ilmne. Kuigi EMS on vaikimisi lubatud kõigi väljaannete jaoks pärast 8. oktoobrit 2019, veenduge muul juhul selle eest Lubage laienduse Extend Master Secret (EMS) tugi.

Kui olete IT-administraator, veenduge, et toetate määratletud EMS-i uuendamist RFC 7627 täielikult.

2] Eemaldage TLS_DHE_* šifrikomplektid

Kui operatsioonisüsteem EMS-i ei toeta, peab IT-administraator TLS-kliendiseadme OS-i šifrikomplektide loendist eemaldama TLS_DHE_* šifrikomplektid. Täielik dokumentatsioon Priority Schannel Cipher Suites saadaval.

See on aga ajutine parandus ja nende keelamine tähendab ainult seda, et kutsute mees-in-the-middle rünnaku.

3] EMS-i lubamine/keelamine opsüsteemis Windows 10/Windows Server

Kui olete mõne TLS-i probleemi tõttu oma arvutis EMS-i keelanud, kasutage selle lubamiseks nii serveri kui ka kliendi registrisätteid.

  • avatud Registriredaktor
  • Avage HKLM System CurrentControlSet Control SecurityProviders Schannel
    • TLS-serveritele: DisableServerExtendedMasterSecret: 0
    • TLS-kliendis: DisableClientExtendedMasterSecret: 0

Kui need pole saadaval, saate need luua.

Windowsi vigade kiireks leidmiseks ja automaatseks parandamiseks laadige alla PC Repair Tool

Loodan, et need lahendused on aidanud ajutiselt lahendada TLS-i probleemi. Olge kursis värskendustega, mis selle probleemi lahendamiseks välja antakse.

Excelis trendijoonte lisamine
Lemmik Postitused