Обходные пути для сбоев TLS и тайм-аутов в системах Windows
Мы говорили о Рукопожатие TLS, и как это может выйти из строя. Мы также отметили, что множество сбоев TLS произошло из-за того, что Microsoft пыталась что-то исправить. Обновление безопасности CVE-2019-1318 привело к недавнему откату для TLS и SSL. Это привело к тому, что TLS-соединения периодически выходили из строя или занимали много времени, что приводило к тайм-ауту. В этом посте мы поделимся обходными путями для сбоев и тайм-аутов TLS в системах Windows.
Следующие ошибки являются распространенными из-за этой продолжающейся проблемы:
- Запрос был прерван: не удалось создать безопасный канал SSL / TLS.
- Ошибка 0x8009030f
- Ошибка, зарегистрированная в журнале системных событий для события SCHANNEL 36887 с кодом предупреждения 20 и описанием: «От удаленной конечной точки было получено критическое предупреждение. Код фатального предупреждения протоколом TLS – 20.? “
Какие версии Windows подвержены сбоям TLS?
Уязвимость может дать злоумышленнику шанс провести атаку «человек посередине». Это было исправлено обновлением, и это привело к сбоям TLS и тайм-аутам в системах Windows.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Microsoft отметила, что это происходит только тогда, когда устройства пытаются установить TLS-подключения к устройствам без поддержки расширения Extended Master Secret. Если на устройствах есть поддерживаемая версия, то этого не происходит. Вот версии Windows, затронутые на данный момент:
- Версия Windows 10 1607
- Windows Server 2016
- Windows 10
- Windows 8.1
- Windows Server 2012 R2
- Windows Server 2012
- Пакет обновления 1 для Windows 7
- Пакет обновления 1 для Windows Server 2008 R2
- Пакет обновления 2 для Windows Server 2008
Список обновлений Windows затронут из-за обновления безопасности
Любое последнее накопительное обновление (LCU) или ежемесячные накопительные пакеты, выпущенное 8 октября 2019 г. или позже для затронутых платформ, может столкнуться с этой проблемой:
- KB4517389 LCU для Windows 10 версии 1903.
- KB4519338 LCU для Windows 10 версии 1809 и Windows Server 2019.
- KB4520008 LCU для Windows 10 версии 1803.
- KB4520004 LCU для Windows 10 версии 1709.
- KB4520010 LCU для Windows 10 версии 1703.
- KB4519998 LCU для Windows 10 версии 1607 и Windows Server 2016.
- KB4520011 LCU для Windows 10, версия 1507.
- KB4520005 Ежемесячный накопительный пакет обновлений для Windows 8.1 и Windows Server 2012 R2.
- KB4520007 Ежемесячный накопительный пакет обновлений для Windows Server 2012.
- KB4519976 Ежемесячный накопительный пакет обновлений для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
- KB4520002 Ежемесячный накопительный пакет обновлений для Windows Server 2008 SP2
- KB4519990 Обновление только для системы безопасности Windows 8.1 и Windows Server 2012 R2.
- KB4519985 Обновление только для системы безопасности Windows Server 2012 и Windows Embedded 8 Standard.
- KB4520003 Обновление только для системы безопасности Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
- KB4520009 Обновление только для системы безопасности для Windows Server 2008 SP2
Обходные пути для сбоев TLS и тайм-аутов в Windows
По данным Microsoft, есть три пути для исправления сбоев и таймаутов TLS.
- Включите EMS как на клиенте, так и на сервере
- Удалить комплекты шифров TLS_DHE_ *
- Включение / отключение EMS в Windows 10 / Windows Server
Имейте в виду, что у обходных путей есть недостатки, особенно с точки зрения безопасности.
1]Включите EMS как на клиенте, так и на сервере
Как мы знаем, если на обеих сторонах установлен EMS, проблема не возникает, поэтому решение очевидно. Хотя EMS включен по умолчанию для всех выпусков после 8 октября 2019 г., в противном случае убедитесь, что Включите поддержку расширения Extend Master Secret (EMS).
Если вы являетесь ИТ-администратором, убедитесь, что поддерживаете возобновление EMS в соответствии с определением RFC 7627 от корки до корки.
2]Удалить комплекты шифров TLS_DHE_ *
Если операционная система не поддерживает EMS, ИТ-администратор должен удалить комплекты шифров TLS_DHE_ * из списка комплектов шифров в ОС клиентского устройства TLS. Полная документация для Приоритетность Schannel Cipher Suites доступен.
Тем не менее, это временное исправление, и их отключение означает только то, что вы приглашаете атаку типа “человек посередине”.
3]Включение / отключение EMS в Windows 10 / Windows Server
Если из-за какой-либо проблемы с TLS вы отключили EMS на своем компьютере, используйте параметры реестра как на сервере, так и на клиенте, чтобы включить его.
- Открыть редактор реестра
- Перейдите в HKLM System CurrentControlSet Control SecurityProviders Schannel
- На сервере TLS: DisableServerExtendedMasterSecret: 0
- На клиенте TLS: DisableClientExtendedMasterSecret: 0
Если они недоступны, вы можете их создать.
Я надеюсь, что эти обходные пути были полезны для временного решения проблемы, с которой вы столкнулись с TLS. Следите за обновлениями, которые будут выпущены для решения этой проблемы
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)