Rešitve za napake TLS, časovne omejitve v sistemih Windows

Govorili smo o Stisk roke TLS, in kako lahko propade. Opazili smo tudi, da se je zgodilo veliko napak TLS, ker je Microsoft nekaj poskušal popraviti. Varnostno posodobljen CVE-2019-1318 je povzročil nedavno uvedbo za TLS in SSL. Rezultat tega je, da povezave TLS občasno odpovejo ali trajajo dlje časa in povzročijo časovno omejitev. V tem prispevku bomo delili rešitve za okvare TLS in časovne omejitve v sistemih Windows.

Zaradi te stalne težave so pogoste naslednje napake:

• Zahteva je bila prekinjena: Ni bilo mogoče ustvariti varnega kanala SSL / TLS
• Napaka 0x8009030f
• V dnevniku sistemskih dogodkov za dogodek SCHANNEL 36887 je bila zabeležena napaka z opozorilno kodo 20 in opisom: »Od oddaljene končne točke je bilo prejeto usodno opozorilo. Koda smrtnega opozorila, določena s protokolom TLS, je 20.?"

Na katere različice sistema Windows vplivajo napake TLS?

Ranljivost lahko daje napadalcu priložnost, da izvede napad človeka v sredini. To je odpravila posodobitev in povzročilo napake TLS, časovne omejitve v sistemih Windows.

Microsoft je poudaril, da se to zgodi le, ko naprave poskušajo vzpostaviti povezavo TLS z napravami brez podpore za razširitev Extended Master Secret. Če imajo naprave podprto različico, se to ne zgodi. Tukaj je različica sistema Windows, ki je bila prizadeta od zdaj:

1. Windows 10, različica 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 s servisnim paketom 1
8. Servisni paket 1 za Windows Server 2008 R2
9. Windows Server 2008 s servisnim paketom 2

Na seznam posodobitev sistema Windows vpliva varnostna posodobitev

Vsaka najnovejša kumulativna posodobitev (LCU) ali mesečni skupni zneski, objavljeni 8. oktobra 2019 ali pozneje za prizadete platforme, lahko doživi to težavo:

1. KB4517389 LCU za Windows 10, različica 1903.
2. KB4519338 LCU za Windows 10, različica 1809 in Windows Server 2019.
3. KB4520008 LCU za Windows 10, različica 1803.
4. KB4520004 LCU za Windows 10, različica 1709.
5. KB4520010 LCU za Windows 10, različica 1703.
6. KB4519998 LCU za Windows 10, različica 1607 in Windows Server 2016.
7. KB4520011 LCU za Windows 10, različica 1507.
8. KB4520005 Mesečni paket za Windows 8.1 in Windows Server 2012 R2.
9. KB4520007 Mesečni paket za Windows Server 2012.
10. KB4519976 Mesečni paket za Windows 7 SP1 in Windows Server 2008 R2 SP1.
11. KB4520002 Mesečni paket za Windows Server 2008 SP2
12. KB4519990 Samo varnostna posodobitev za Windows 8.1 in Windows Server 2012 R2.
13. KB4519985 Samo varnostna posodobitev za Windows Server 2012 in Windows Embedded 8 Standard.
14. KB4520003 Samo varnostna posodobitev za Windows 7 SP1 in Windows Server 2008 R2 SP1
15. KB4520009 Samo varnostna posodobitev za Windows Server 2008 SP2

Rešitve za napake TLS, časovne omejitve v sistemu Windows

Po navedbah Microsofta obstajajo trije načini za odpravo napak in časovnih omejitev TLS.

1. Omogočite EMS na odjemalcu in strežniku
2. Odstranite zbirke šifre TLS_DHE_ *
3. Omogoči / onemogoči EMS v sistemu Windows 10 / Windows Server

Zavedajte se, da imajo rešitve pomanjkljivosti, zlasti z vidika varnosti.

1] Omogočite EMS na odjemalcu in strežniku

Ker vemo, da če je na obeh straneh nameščen EMS, težava ne pride, zato je rešitev očitna.  Čeprav je EMS privzeto omogočen za katero koli izdajo po 8. oktobru 2019, v nasprotnem primeru poskrbite Omogočite podporo za razširitev Extender Master Secret (EMS).

Če ste skrbnik IT, ne pozabite v celoti podpirati nadaljevanja sistema EMS, kot je opredeljeno v RFC 7627.

2] Odstranite zbirke šifre TLS_DHE_ *

Če operacijski sistem ne podpira sistema EMS, mora skrbnik IT odstraniti zbirke šifre TLS_DHE_ * s seznama zbirk šifer v OS odjemalske naprave TLS. Na voljo je celotna dokumentacija za določanje prednosti programov Schannel Cipher Suites.

To pomeni, da so to začasni popravki in če jih onemogočite, pomeni samo, da povabite napad človeka v sredini

3] Omogoči / onemogoči EMS v sistemu Windows 10 / Windows Server

Če ste za katero koli težavo TLS v svojem računalniku onemogočili sistem EMS, potem uporabite nastavitve registra na strežniku in odjemalcu, da ga omogočite.

• Odprite urejevalnik registra
• Pojdite na HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • Na strežniku TLS: DisableServerExtendedMasterSecret: 0
  • Na odjemalcu TLS: DisableClientExtendedMasterSecret: 0

Če niso na voljo, jih lahko ustvarite.

Upam, da so bile te rešitve koristne za začasno rešitev težave, s katero se soočate s sistemom TLS. Bodite pozorni na posodobitve, ki se bodo sprožile, da odpravijo to težavo