A TLS-hibák, az időtúllépések megoldási lehetőségei a Windows rendszerekben

Beszéltünk a TLS kézfogás, és hogyan bukhat meg. Megjegyeztük azt is, hogy sok TLS hiba történt, mert a Microsoft megpróbált kijavítani valamit. A CVE-2019-1318 által frissített biztonsági frissítés miatt a legutóbbi a TLS és az SSL számára került bevezetésre. Ennek eredményeként a TLS-kapcsolatok szakaszosan meghibásodtak vagy sokáig tartottak, és időtúllépést eredményeztek. Ebben a bejegyzésben megosztjuk a TLS-hibák és az időtúllépés megoldásait a Windows rendszerekben.

A következő hibák gyakran fordulnak elő a folyamatos probléma miatt:

• A kérést megszakították: Nem sikerült létrehozni az SSL / TLS biztonságos csatornát
• 0x8009030f hiba
• Hiba jelentkezett a SCHANNEL 36887 esemény rendszernaplójába a 20. riasztási kóddal és a következő leírással: „Végzetes riasztás érkezett a távoli végponttól. A TLS protokoll által meghatározott végzetes riasztási kód 20.?”

A Windows mely verzióit érinti a TLS hibák?

A sérülékenység esélyt adhat a támadónak ember-a-középen támadás végrehajtására. Ezt a frissítés kijavította, és ez TLS-hibákat, időtúllépéseket eredményezett a Windows rendszerekben.

A Microsoft rámutatott, hogy ez csak akkor fordul elő, amikor az eszközök TLS-kapcsolatokat próbálnak létrehozni az eszközökkel az Extended Master Secret kiterjesztés támogatása nélkül. Ha az eszközök támogatott verzióval rendelkeznek, akkor ez nem fordul elő. A következőkben a Windows verziók érintettek:

1. Windows 10 1607-es verzió
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 2. szervizcsomag

A biztonsági frissítés a Windows frissítések listáját érinti

Az érintett platformok 2019. október 8-án vagy később kiadott legújabb összesített frissítésében (LCU) vagy havi összesítésében előfordulhat ez a probléma:

1. KB4517389 LCU Windows 10-hez, 1903-as verzió.
2. KB4519338 LCU Windows 10, 1809 verzió és Windows Server 2019 rendszerhez.
3. KB4520008 LCU Windows 10-hez, 1803-as verzió.
4. KB4520004 LCU Windows 10 rendszerhez, 1709. verzió.
5. KB4520010 LCU Windows 10 rendszerhez, 1703-as verzió.
6. KB4519998 LCU Windows 10, 1607-es verzióhoz és Windows Server 2016-hoz.
7. KB4520011 LCU Windows 10-hez, 1507-es verzió.
8. KB4520005 havi összesítés a Windows 8 rendszerhez.1 és a Windows Server 2012 R2.
9. KB4520007 havi összesítés a Windows Server 2012 rendszerhez.
10. KB4519976 havi összesítés a Windows 7 SP1 és a Windows Server 2008 R2 SP1 rendszerhez.
11. KB4520002 havi összesítés a Windows Server 2008 SP2 rendszerhez
12. KB4519990 Csak biztonsági frissítés a Windows 8 rendszerhez.1 és a Windows Server 2012 R2.
13. KB4519985 Csak biztonsági frissítés a Windows Server 2012 és a Windows Embedded 8 Standard programhoz.
14. KB4520003 Csak biztonsági frissítés a Windows 7 SP1 és a Windows Server 2008 R2 SP1 rendszerhez
15. KB4520009 Csak biztonsági frissítés a Windows Server 2008 SP2 rendszerhez

A TLS-hibák, az időtúllépés megoldási lehetőségei a Windows rendszerben

A Microsoft szerint háromféle módon lehet kijavítani a TLS-hibákat és az időtúllépéseket.

1. Engedélyezze az EMS-t mind az ügyfélen, mind a szerveren
2. Távolítsa el a TLS_DHE_ * rejtjelkészleteket
3. Az EMS engedélyezése / letiltása Windows 10 / Windows Server rendszeren

Ne feledje, hogy vannak hátrányai a megoldásoknak, különösen a biztonság szempontjából.

1] Engedélyezze az EMS-t mind az ügyfélen, mind a szerveren

Mint tudjuk, hogy ha mindkét fél telepítette az EMS-t, akkor a probléma nem merül fel, ezért a megoldás nyilvánvaló.  Míg az EMS alapértelmezés szerint engedélyezve van minden kiadásra 2019. október 8. után, ha nem, mindenképpen tegye meg Támogatás engedélyezése az EMS kiterjesztéshez.

Ha Ön rendszergazda, győződjön meg arról, hogy teljes mértékben támogatja az EMS folytatását az RFC 7627 szerint.

2] Távolítsa el a TLS_DHE_ * rejtjelkészleteket

Ha az operációs rendszer nem támogatja az EMS-t, akkor az IT-rendszergazdának el kell távolítania a TLS_DHE_ * titkosítócsomagokat a TLS-ügyféleszköz operációs rendszerének titkosítócsomag-listájáról. A Schannel Cipher Suites rangsorolásának teljes dokumentációja rendelkezésre áll.

Ez azt jelenti, hogy ezek ideiglenes javítások, és ezek letiltása csak azt jelenti, hogy egy embert a középen támadást hív meg

3] Engedélyezze / tiltsa le az EMS-t Windows 10 / Windows Server rendszeren

Ha bármely TLS-probléma miatt letiltotta az EMS-t a számítógépén, akkor a kiszolgálón és az ügyfélen is használja a rendszerleíró adatbázis beállításait.

• Nyissa meg a Beállításszerkesztőt
• Keresse meg a HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel mappát
  • TLS-kiszolgálón: DisableServerExtendedMasterSecret: 0
  • A TLS kliensen: DisableClientExtendedMasterSecret: 0

Ha nem állnak rendelkezésre, létrehozhatja őket.

Remélem, hogy ezek a megoldások hasznosak voltak a TLS ideiglenes problémájának megoldására. Figyelje a frissítéseket, amelyek a probléma megoldására szolgálnak