Mes kalbėjome apie TLS rankos paspaudimas, ir kaip tai gali nepavykti. Mes taip pat pažymėjome, kad įvyko daugybė TLS gedimų, nes „Microsoft“ bandė ką nors išspręsti. Dėl saugos atnaujinto CVE-2019-1318 atsirado naujausia TLS ir SSL. Tai lėmė, kad TLS ryšiai su pertraukomis sugedo arba užtruko ilgai, todėl atsirado skirtasis laikas. Šiame pranešime pasidalinsime TLS gedimų ir skirtojo laiko problemomis „Windows“ sistemose.
Šios nuolatinės problemos yra šios klaidos:
- Užklausa buvo nutraukta: nepavyko sukurti SSL / TLS saugaus kanalo
- Klaida 0x8009030f
- Sistemos įvykių žurnale užregistruota klaida, skirta SCHANNEL įvykiui 36887 su įspėjimo kodu 20 ir aprašymu „Iš nuotolinio galinio taško buvo gautas mirtinas įspėjimas. TLS protokolo nustatytas mirtino įspėjimo kodas yra 20.?“
Kurias „Windows“ versijas veikia TLS gedimai?
Pažeidžiamumas gali suteikti užpuolikui galimybę atakuoti žmogų viduryje. Tai pataisė naujinimas, todėl „Windows“ sistemose atsirado TLS gedimai, skirtasis laikas.
„Microsoft“ atkreipė dėmesį, kad tai atsitinka tik tada, kai įrenginiai bando užmegzti TLS ryšius su įrenginiais be „Extended Master Secret“ plėtinio palaikymo. Jei įrenginiuose yra palaikoma versija, tai neįvyksta. Čia pateikiamos „Windows“ versijos, kurioms paveikta nuo šiol:
- „Windows 10“ versija 1607
- „Windows Server 2016“
- „Windows 10“
- „Windows 8“.1
- „Windows Server 2012 R2“
- „Windows Server 2012“
- „Windows 7“ 1 pakeitimų paketas
- „Windows Server 2008 R2“ 1 pakeitimų paketas
- „Windows Server 2008“ 2 pakeitimų paketas
„Windows“ naujinimų sąrašas turi įtakos dėl saugos naujinimo
Visuose naujausiuose kaupiamuosiuose atnaujinimuose (LCU) arba „Monthly Rollups“, išleistuose 2019 m. Spalio 8 d. Ar vėlesnėse versijose, gali būti ši problema:
- KB4517389 LCU, skirtas „Windows 10“, 1903 versija.
- KB4519338 LCU, skirtas „Windows 10“, 1809 versija ir „Windows Server 2019“.
- KB4520008 LCU, skirtas „Windows 10“, 1803 versija.
- KB4520004 LCU, skirtas „Windows 10“, 1709 versija.
- KB4520010 LCU, skirtas „Windows 10“, 1703 versija.
- KB4519998 LCU, skirtas „Windows 10“, 1607 versijai ir „Windows Server 2016“.
- KB4520011 LCU, skirtas „Windows 10“, 1507 versija.
- KB4520005 mėnesinis „Windows 8“ naujinimas.1 ir „Windows Server 2012 R2“.
- KB4520007 mėnesinis „Windows Server 2012“ paketas.
- KB4519976 mėnesio naujinimų paketas, skirtas „Windows 7“ SP1 ir „Windows Server 2008 R2“ SP1.
- KB4520002 mėnesinis „Windows Server 2008“ SP2 paketas
- KB4519990 Tik saugos naujinimas, skirtas „Windows 8“.1 ir „Windows Server 2012 R2“.
- KB4519985 Tik saugos naujinimas, skirtas „Windows Server 2012“ ir „Windows Embedded 8 Standard“.
- Tik KB4520003 saugos naujinimas, skirtas „Windows 7 SP1“ ir „Windows Server 2008 R2 SP1“
- Tik „Windows Server 2008“ SP2 KB4520009 saugos naujinimas
TLS gedimų, skirtojo laiko „Windows“ problemų sprendimo būdai
Pasak „Microsoft“, yra trys būdai, kaip išspręsti TLS gedimus ir skirtąjį laiką.
- Įgalinti EMS kliente ir serveryje
- Pašalinkite šifravimo rinkinius TLS_DHE_ *
- Įjunkite / išjunkite EMS sistemoje „Windows 10“ / „Windows Server“
Turėkite omenyje, kad yra problemų, ypač saugumo požiūriu, trūkumų.
1] Įjunkite EMS kliente ir serveryje
Kaip žinome, kad jei abiejose pusėse įdiegta EMS, problema nekyla, todėl sprendimas yra akivaizdus. Nors pagal numatytuosius nustatymus EMS buvo įgalinta bet kuriam leidimui po 2019 m. Spalio 8 d., Jei ne, būtinai Įgalinti „Extend Master Secret“ (EMS) plėtinio palaikymą.
Jei esate IT administratorius, įsitikinkite, kad visiškai palaikote EMS atnaujinimą, kaip apibrėžta RFC 7627.
2] Pašalinkite TLS_DHE_ * šifravimo rinkinius
Jei operacinė sistema nepalaiko EMS, IT administratoriui reikia pašalinti TLS_DHE_ * šifro rinkinius iš TLS kliento įrenginio OS šifrų rinkinių sąrašo. Yra išsami „Schannel Cipher Suites“ prioritetų nustatymo dokumentacija.
Tai reiškia, kad tai yra laikinas pataisymas, o jų išjungimas reiškia tik tai, kad kviečiate žmogų viduryje ataką
3] Įjunkite / išjunkite EMS sistemoje „Windows 10“ / „Windows Server“
Jei dėl kokių nors TLS problemų savo kompiuteryje išjungėte EMS, naudokite serverio ir kliento registro parametrus, kad tai įgalintumėte.
- Atidarykite registro rengyklę
- Eikite į HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
- TLS serveryje: „DisableServerExtendedMasterSecret“: 0
- „TLS Client“: „DisableClientExtendedMasterSecret“: 0
Jei jų nėra, galite juos sukurti.
Tikiuosi, kad šie būdai buvo naudingi norint laikinai išspręsti problemą, su kuria susiduriate su TLS. Stebėkite naujinius, kurie bus išleisti norint išspręsti šią problemą