Risinājumi TLS kļūmēm, taimautiem Windows sistēmās

Mēs esam runājuši par TLS rokasspiediens, un kā tas var neizdoties. Mēs arī atzīmējām, ka ir notikušas daudzas TLS kļūmes, jo Microsoft mēģināja kaut ko labot. Drošības atjauninātā CVE-2019-1318 dēļ pēdējā tika ieviesta TLS un SSL. Tā rezultātā TLS savienojumi periodiski neizdevās vai aizņēma ilgu laiku, kā rezultātā iestājās taimauts. Šajā ziņojumā mēs kopīgosim TLS kļūmju un taimautu risinājumus Windows sistēmās.

Šīs pastāvīgās problēmas dēļ bieži sastopamas šādas kļūdas:

• Pieprasījums tika atcelts: nevarēja izveidot SSL / TLS drošu kanālu
• Kļūda 0x8009030f
• Kļūda, kas reģistrēta sistēmas notikumu žurnālā SCHANNEL notikumam 36887 ar brīdinājuma kodu 20 un aprakstu: “Tāls trauksme tika saņemta no attālā galapunkta. TLS protokola definētais letālā trauksmes kods ir 20.?”

Kuras Windows versijas ietekmē TLS kļūmes?

Neaizsargātība var dot uzbrucējam iespēju veikt uzbrukumu “cilvēks vidū”. To laboja atjauninājums, un tā rezultātā Windows sistēmās radās TLS kļūmes, taimauts.

Korporācija Microsoft norādīja, ka tas notiek tikai tad, kad ierīces mēģina izveidot TLS savienojumus ar ierīcēm bez paplašinājuma Extended Master Secret atbalsta. Ja ierīcēm ir atbalstītā versija, tā nenotiek. Šobrīd tiek ietekmētas Windows versijas:

1. Windows 10 versija 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 1. servisa pakotne
8. Windows Server 2008 R2 1. servisa pakotne
9. Windows Server 2008 2. servisa pakotne

Drošības atjauninājuma dēļ tiek ietekmēti Windows atjauninājumu saraksti

Visiem jaunākajiem kumulatīvajiem atjauninājumiem (LCU) vai ikmēneša apkopojumiem, kas izlaisti 2019. gada 8. oktobrī vai vēlāk attiecīgajām platformām, var rasties šī problēma:

1. KB4517389 LCU operētājsistēmai Windows 10, versija 1903.
2. KB4519338 LCU operētājsistēmai Windows 10, versija 1809 un Windows Server 2019.
3. KB4520008 LCU operētājsistēmai Windows 10, versija 1803.
4. KB4520004 LCU operētājsistēmai Windows 10, 1709. versija.
5. KB4520010 LCU operētājsistēmai Windows 10, 1703. versija.
6. KB4519998 LCU operētājsistēmai Windows 10, versija 1607 un Windows Server 2016.
7. KB4520011 LCU operētājsistēmai Windows 10, versija 1507.
8. KB4520005 ikmēneša apkopojums operētājsistēmai Windows 8.1 un Windows Server 2012 R2.
9. KB4520007 ikmēneša apkopojums sistēmai Windows Server 2012.
10. KB4519976 ikmēneša apkopojums operētājsistēmām Windows 7 SP1 un Windows Server 2008 R2 SP1.
11. KB4520002 ikmēneša apkopojums sistēmai Windows Server 2008 SP2
12. KB4519990 Tikai drošības atjauninājums operētājsistēmai Windows 8.1 un Windows Server 2012 R2.
13. KB4519985 Tikai drošības atjauninājums operētājsistēmām Windows Server 2012 un Windows Embedded 8 Standard.
14. KB4520003 Tikai drošības atjauninājums operētājsistēmām Windows 7 SP1 un Windows Server 2008 R2 SP1
15. KB4520009 Tikai drošības atjauninājums sistēmai Windows Server 2008 SP2

Risinājumi TLS kļūmēm, taimautiem sistēmā Windows

Pēc Microsoft domām, ir trīs veidi, kā novērst TLS kļūmes un taimautus.

1. Iespējot EMS gan klientā, gan serverī
2. Noņemiet šifru komplektus TLS_DHE_ *
3. Iespējot / atspējot EMS operētājsistēmā Windows 10 / Windows Server

Jāapzinās, ka risinājumiem ir trūkumi, īpaši no drošības viedokļa.

1] Iespējojiet EMS gan klientā, gan serverī

Tā kā mēs zinām, ka, ja abās pusēs ir instalēta EMS, problēma nerodas, tāpēc risinājums ir acīmredzams.  Kaut arī EMS pēc noklusējuma ir iespējota jebkurai laidienai pēc 2019. gada 8. oktobra, ja nē, pārliecinieties, vai tā ir Iespējot paplašinājuma paplašināšanas galveno slepeno (EMS) atbalstu.

Ja esat IT administrators, noteikti pilnībā atbalstiet EMS atsākšanu, kā noteikts RFC 7627.

2] Noņemiet šifra komplektus TLS_DHE_ *

Ja operētājsistēma neatbalsta EMS, IT administratoram ir jānoņem TLS_DHE_ * šifru komplekti no šifru komplektu saraksta TLS klienta ierīces OS. Ir pieejama pilnīga Schannel Cipher Suites prioritizēšanas dokumentācija.

Tas nozīmē, ka tie ir pagaidu labojumi, un to atspējošana nozīmē tikai to, ka jūs uzaicināt vīrieti vidū uzbrukumu

3] Iespējot / atspējot EMS operētājsistēmā Windows 10 / Windows Server

Ja kādā TLS jautājumā datorā esat atspējojis EMS, izmantojiet gan servera, gan klienta reģistra iestatījumus, lai to iespējotu.

• Atveriet reģistra redaktoru
• Pārejiet uz HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • TLS serverī: DisableServerExtendedMasterSecret: 0
  • TLS klientā: DisableClientExtendedMasterSecret: 0

Ja tie nav pieejami, varat tos izveidot.

Es ceru, ka šie risinājumi bija noderīgi, lai īslaicīgi novērstu problēmu, ar kuru saskaras ar TLS. Sekojiet līdzi atjauninājumiem, kas tiks izlaisti, lai novērstu šo problēmu