Заобиколни решения за откази на TLS и изчакване на Windows системи

Workarounds Tls Failures



Списък със заобиколни решения за откази на TLS и изчакване на Windows системи. Това се случва поради внедряване на актуализация на securti, липса на EMS на клиент или сървър.

Ако имате проблеми с отказите на TLS и изчакванията на вашата Windows система, има няколко неща, които можете да направите, за да заобиколите проблема. Първо опитайте да увеличите стойността на времето за изчакване на TLS във вашия регистър. За да направите това, отворете редактора на системния регистър (regedit.exe) и отидете на следния ключ: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters След това създайте нова DWORD стойност, наречена „EnableTls11“ и я задайте на 1. Ако това не работи, можете да опитате да деактивирате TLS 1.0. За да направите това, отворете редактора на системния регистър и отидете на следния ключ: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols След това създайте нова DWORD стойност за всеки от следните протоколи и ги задайте на 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 И накрая, ако всичко друго се провали, можете да опитате да преинсталирате драйверите на вашия мрежов адаптер. Това обикновено е крайна мярка, но понякога може да коригира проблеми с TLS. Ако имате проблеми с отказите на TLS и изчакванията на вашата Windows система, има няколко неща, които можете да направите, за да заобиколите проблема. Първо опитайте да увеличите стойността на времето за изчакване на TLS във вашия регистър. За да направите това, отворете редактора на системния регистър (regedit.exe) и отидете на следния ключ: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters След това създайте нова DWORD стойност, наречена „EnableTls11“ и я задайте на 1. Ако това не работи, можете да опитате да деактивирате TLS 1.0. За да направите това, отворете редактора на системния регистър и отидете на следния ключ: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols След това създайте нова DWORD стойност за всеки от следните протоколи и ги задайте на 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 И накрая, ако всичко друго се провали, можете да опитате да преинсталирате драйверите на вашия мрежов адаптер. Това обикновено е последна мярка, но понякога може да коригира проблеми с TLS.



Говорехме за Ръкостискане TLS , и как може да се провали. Отбелязахме също, че много откази на TLS се дължат на това, че Microsoft се опитва да поправи нещата. Актуализацията на защитата CVE-2019-1318 доведе до скорошно връщане назад за TLS и SSL. Това накара TLS връзките периодично да се провалят или да отнемат много време, което води до изчакване. В тази публикация ще споделим заобиколни решения за откази на TLS и изчакване на Windows системи.







Заобиколно решение за откази на TLS





Следните грешки са често срещани поради този продължаващ проблем:



  • Заявката беше прекратена: Неуспешно създаване на SSL/TLS защитен канал.
  • Грешка 0x8009030f
  • Регистрирана е грешка в регистъра на системните събития за събитие SCHANNEL 36887 с предупредителен код 20 и описание: „Получено е критично предупреждение от отдалечената крайна точка. Фатален предупредителен код по TLS протокол - 20.? '

Кои версии на Windows са предразположени към откази на TLS?

Уязвимостта може да даде шанс на нападателя да започне атака човек по средата. Това беше коригирано чрез актуализация и доведе до неизправности на TLS и изчакване на Windows системи.

Microsoft отбеляза, че това се случва само когато устройства се опитват да установят TLS връзки към устройства, които не поддържат разширението Extended Master Secret. Ако устройствата имат поддържана версия, това не се случва. Ето засегнатите в момента версии на Windows:

как да отворите настройките
  1. Windows 10 версия 1607
  2. Windows Server 2016
  3. Windows 10
  4. Windows 8.1
  5. Windows Server 2012 R2
  6. Windows Server 2012
  7. Сервизен пакет 1 за Windows 7
  8. Сервизен пакет 1 за Windows Server 2008 R2
  9. Сервизен пакет 2 за Windows Server 2008

Списъкът с актуализации на Windows е засегнат поради актуализация на защитата

Всяка последна кумулативна актуализация (LCU) или месечни сборни пакети, пуснати на или след 8 октомври 2019 г. за засегнатите платформи, може да срещне този проблем:



  1. KB4517389 LCU за Windows 10 версия 1903.
  2. KB4519338 LCU за Windows 10 версия 1809 и Windows Server 2019.
  3. KB4520008 LCU за Windows 10 версия 1803.
  4. KB4520004 LCU за Windows 10 версия 1709.
  5. KB4520010 LCU за Windows 10 версия 1703.
  6. KB4519998 LCU за Windows 10 версия 1607 и Windows Server 2016.
  7. KB4520011 LCU за Windows 10 версия 1507.
  8. KB4520005 Сборна месечна актуализация за Windows 8.1 и Windows Server 2012 R2.
  9. KB4520007 Сборна месечна актуализация за Windows Server 2012.
  10. KB4519976 Сборна месечна актуализация за Windows 7 SP1 и Windows Server 2008 R2 SP1.
  11. KB4520002 Сборна месечна актуализация за Windows Server 2008 SP2
  12. KB4519990 Актуализация само за защита за Windows 8.1 и Windows Server 2012 R2.
  13. KB4519985 Актуализация на защитата само за Windows Server 2012 и Windows Embedded 8 Standard.
  14. KB4520003 Актуализация само за защита за Windows 7 SP1 и Windows Server 2008 R2 SP1
  15. KB4520009 Актуализация само за защита за Windows Server 2008 SP2

Заобиколни решения за откази на TLS и изчакване в Windows

Според Microsoft има три начина за коригиране на TLS сривове и изчаквания.

  1. Активирайте EMS както на клиента, така и на сървъра
  2. Изтриване на TLS_DHE_* комплекти за шифроване
  3. Активирайте / деактивирайте EMS в Windows 10 / Windows Server

Имайте предвид, че заобиколните решения имат недостатъци, особено по отношение на сигурността.

Windows 10 преоразмеряване на стартовото меню

1] Активирайте EMS както на клиент, така и на сървър

Както знаем, ако EMS е инсталиран от двете страни, тогава няма проблем, така че решението е очевидно. Въпреки че EMS е активиран по подразбиране за всички версии след 8 октомври 2019 г., в противен случай се уверете, че Активирайте поддръжката за разширението Extend Master Secret (EMS).

Ако сте ИТ администратор, моля, уверете се, че поддържате EMS подновяване, както е дефинирано RFC 7627 напълно.

2] Премахване на TLS_DHE_* комплекти за шифроване

Ако операционната система не поддържа EMS, ИТ администраторът трябва да премахне комплектите за шифроване TLS_DHE_* от списъка с пакети за шифроване в операционната система на TLS клиентското устройство. Пълна документация за Priority Schannel Cipher Suites на разположение.

Това обаче е временна поправка и деактивирането им означава само, че каните атака от тип човек по средата.

3] Активиране/деактивиране на EMS в Windows 10/Windows Server

Ако поради някакъв проблем с TLS сте деактивирали EMS на вашия компютър, използвайте настройките на регистъра както на сървъра, така и на клиента, за да го активирате.

  • отворен Редактор на регистъра
  • Отидете на HKLM System CurrentControlSet Control SecurityProviders Schannel
    • Към TLS сървъри: DisableServerExtendedMasterSecret: 0
    • На TLS клиент: DisableClientExtendedMasterSecret: 0

Ако не са налични, можете да ги създадете.

Изтеглете PC Repair Tool, за да намерите бързо и автоматично да коригирате грешки в Windows

Надявам се, че тези заобиколни решения са били полезни за временно разрешаване на проблема, който срещате с TLS. Очаквайте актуализации, които ще бъдат пуснати за справяне с този проблем.

Популярни Публикации