Chúng ta đã nói về cái bắt tay TLS , và làm thế nào nó có thể thất bại. Chúng tôi cũng đánh dấu rằng rất nhiều lỗi TLS đã xảy ra do Microsoft đã cố gắng sửa một số thứ. Bản cập nhật bảo mật CVE-2019-1318 đã khiến bản cập nhật gần đây cho TLS và SSL. Nó đã dẫn đến kết nối TLS không liên tục hoặc mất nhiều thời gian và dẫn đến thời gian chờ. Trong bài đăng này, chúng tôi sẽ chia sẻ các giải pháp thay thế cho Lỗi TLS và Hết thời gian trong hệ thống Windows.
Các lỗi sau đây thường gặp do sự cố đang diễn ra này:
- Yêu cầu đã bị hủy bỏ:Không thể tạo Kênh bảo mật SSL / TLS
- Lỗi 0x8009030f
- Đã xảy ra lỗi khi ghi vào Nhật ký sự kiện hệ thống cho sự kiện SCHANNEL 36887 với mã cảnh báo 20 và mô tả, “Đã nhận được cảnh báo nghiêm trọng từ điểm cuối từ xa. Giao thức TLS đã xác định mã cảnh báo nguy hiểm là 20.? ”
Phiên bản Windows nào bị ảnh hưởng với Lỗi TLS?
Lỗ hổng có thể tạo cơ hội cho kẻ tấn công thực hiện một cuộc tấn công trung gian. Điều này đã được khắc phục bởi bản cập nhật và nó dẫn đến Lỗi TLS, Hết giờ trong hệ thống Windows.
Microsoft đã chỉ ra rằng điều đó chỉ xảy ra khi các thiết bị đang cố gắng tạo kết nối TLS với các thiết bị không hỗ trợ tiện ích mở rộng Extended Master Secret. Nếu các thiết bị có phiên bản được hỗ trợ thì điều đó sẽ không xảy ra. Đây là phiên bản Windows bị ảnh hưởng tính đến thời điểm hiện tại:
- Phiên bản Windows 10 1607
- Windows Server 2016
- Windows 10
- Windows 8.1
- Windows Server 2012 R2
- Windows Server 2012
- Windows 7 Gói Dịch vụ 1
- Windows Server 2008 R2 Gói Dịch vụ 1
- Windows Server 2008 Gói Dịch vụ 2
Danh sách các bản cập nhật Windows bị ảnh hưởng do bản cập nhật bảo mật
Mọi bản cập nhật tích lũy mới nhất (LCU) hoặc Bản tổng hợp hàng tháng được phát hành vào ngày 8 tháng 10 năm 2019 hoặc mới hơn cho các nền tảng bị ảnh hưởng đều có thể gặp sự cố này:
- KB4517389 LCU dành cho Windows 10, phiên bản 1903.
- KB4519338 LCU dành cho Windows 10, phiên bản 1809 và Windows Server 2019.
- KB4520008 LCU dành cho Windows 10, phiên bản 1803.
- KB4520004 LCU dành cho Windows 10, phiên bản 1709.
- KB4520010 LCU dành cho Windows 10, phiên bản 1703.
- KB4519998 LCU dành cho Windows 10, phiên bản 1607 và Windows Server 2016.
- KB4520011 LCU dành cho Windows 10, phiên bản 1507.
- KB4520005 Bản tổng hợp Hàng tháng dành cho Windows 8.1 và Windows Server 2012 R2.
- KB4520007 Bản tổng hợp Hàng tháng dành cho Windows Server 2012.
- KB4519976 Bản tổng hợp Hàng tháng dành cho Windows 7 SP1 và Windows Server 2008 R2 SP1.
- KB4520002 Bản tổng hợp Hàng tháng dành cho Windows Server 2008 SP2
- KB4519990 Bản cập nhật chỉ bảo mật cho Windows 8.1 và Windows Server 2012 R2.
- KB4519985 Bản cập nhật chỉ bảo mật cho Windows Server 2012 và Windows Embedded 8 Standard.
- KB4520003 Bản cập nhật chỉ bảo mật cho Windows 7 SP1 và Windows Server 2008 R2 SP1
- KB4520009 Bản cập nhật chỉ bảo mật cho Windows Server 2008 SP2
Giải pháp thay thế cho lỗi TLS, hết thời gian chờ trong Windows
Theo Microsoft, có ba cách để khắc phục lỗi TLS và thời gian chờ.
- Bật EMS trên cả máy khách và máy chủ
- Xóa bộ mật mã TLS_DHE_ *
- Bật / Tắt EMS trên Windows 10 / Windows Server
Lưu ý rằng có những hạn chế đối với các giải pháp thay thế, đặc biệt là từ quan điểm bảo mật.
1] Bật EMS trên cả máy khách và máy chủ
Như chúng ta biết rằng nếu cả hai bên đều đã cài đặt EMS thì sự cố sẽ không xảy ra, vì vậy giải pháp là rõ ràng. Mặc dù EMS đã được bật theo mặc định cho bất kỳ bản phát hành nào sau ngày 8 tháng 10 năm 2019, nhưng nếu không, hãy đảm bảo Bật hỗ trợ cho tiện ích Mở rộng Bí mật Chính (EMS).
Nếu bạn là quản trị viên CNTT, hãy đảm bảo hỗ trợ đầy đủ phục hồi EMS theo định nghĩa của RFC 7627.
2] Xóa bộ mật mã TLS_DHE_ *
Nếu hệ điều hành không hỗ trợ EMS thì quản trị viên CNTT cần xóa bộ mật mã TLS_DHE_ * khỏi danh sách bộ mật mã trong Hệ điều hành của thiết bị khách TLS. Tài liệu đầy đủ về Ưu tiên Bộ mật mã Schannel hiện có sẵn.
Điều đó nói rằng, đây là một bản sửa lỗi tạm thời và việc vô hiệu hóa chúng chỉ có nghĩa là bạn đang mời một cuộc tấn công kẻ trung gian
3] Bật / Tắt EMS trên Windows 10 / Windows Server
Nếu, đối với bất kỳ sự cố TLS nào, bạn đã tắt EMS trên máy tính của mình, thì hãy sử dụng cài đặt đăng ký trên cả máy chủ và máy khách để kích hoạt nó.
- Mở Trình chỉnh sửa sổ đăng ký
- Điều hướng đến HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
- Trên Máy chủ TLS:DisableServerExtendedMasterSecret:0
- Trên ứng dụng khách TLS:DisableClientExtendedMasterSecret:0
Nếu chúng không có sẵn, bạn có thể tạo chúng.
Tôi hy vọng những cách giải quyết này hữu ích để khắc phục tạm thời sự cố bạn đang gặp phải với TLS. Theo dõi các bản cập nhật sẽ ra mắt để khắc phục sự cố này