Løsninger til TLS-fejl, timeouts i Windows-systemer

Vi har talt om TLS håndtryk, og hvordan det kan mislykkes. Vi markerede også, at der var sket mange TLS-fejl, fordi Microsoft forsøgte at rette noget. En sikkerhedsopdateret CVE-2019-1318 har forårsaget den seneste rullet til TLS og SSL. Det har resulteret i, at TLS-forbindelser intermitterende svigter eller tager lang tid og resulterer i en timeout. I dette indlæg deler vi løsninger på TLS-fejl og timeouts i Windows-systemer.

Følgende fejl er almindelige på grund af dette løbende problem:

• Anmodningen blev afbrudt: Kunne ikke oprette SSL / TLS sikker kanal
• Fejl 0x8009030f
• En fejl logget i systemhændelsesloggen for SCHANNEL-hændelse 36887 med alarmkode 20 og beskrivelsen, “Der blev modtaget en dødelig alarm fra det eksterne slutpunkt. TLS-protokollens definerede fatale alarmkode er 20.?”

Hvilke versioner af Windows er berørt af TLS-fejl?

Sårbarheden kan give angriberen en chance for at udføre et mand-i-midten-angreb. Dette blev løst ved opdateringen, og det resulterede i TLS-fejl, timeouts i Windows-systemer.

Microsoft påpegede, at det kun sker, når enhederne forsøger at oprette TLS-forbindelser til enheder uden understøttelse af udvidelsen Master Master Secret. Hvis enhederne har den understøttede version, forekommer den ikke. Her er de af Windows-versioner, der er berørt lige nu:

1. Windows 10 version 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

Liste over Windows-opdateringer påvirkes på grund af sikkerhedsopdateringen

Enhver seneste kumulative opdatering (LCU) eller månedlige opdateringer udgivet den 8. oktober 2019 eller senere for de berørte platforme kan opleve dette problem:

1. KB4517389 LCU til Windows 10, version 1903.
2. KB4519338 LCU til Windows 10, version 1809 og Windows Server 2019.
3. KB4520008 LCU til Windows 10, version 1803.
4. KB4520004 LCU til Windows 10, version 1709.
5. KB4520010 LCU til Windows 10, version 1703.
6. KB4519998 LCU til Windows 10, version 1607 og Windows Server 2016.
7. KB4520011 LCU til Windows 10, version 1507.
8. KB4520005 Månedlig opdatering til Windows 8.1 og Windows Server 2012 R2.
9. KB4520007 Månedlig opdateringspakke til Windows Server 2012.
10. KB4519976 Månedlig opdatering til Windows 7 SP1 og Windows Server 2008 R2 SP1.
11. KB4520002 Månedlig opdateringspakke til Windows Server 2008 SP2
12. KB4519990 kun sikkerhedsopdatering til Windows 8.1 og Windows Server 2012 R2.
13. KB4519985 kun sikkerhedsopdatering til Windows Server 2012 og Windows Embedded 8 Standard.
14. KB4520003 Sikkerhedsopdatering til Windows 7 SP1 og Windows Server 2008 R2 SP1
15. KB4520009 Sikkerhedsopdatering til Windows Server 2008 SP2

Løsninger til TLS-fejl, timeouts i Windows

Ifølge Microsoft er der tre måder at rette TLS-fejl og timeouts på.

1. Aktivér EMS på både klient og server
2. Fjern TLS_DHE_ * chifferpakker
3. Aktivér / deaktiver EMS på Windows 10 / Windows Server

Vær opmærksom på, at der er ulemper ved løsningerne, især ud fra sikkerhedsperspektivet.

1] Aktivér EMS på både klient og server

Som vi ved, at hvis begge sider har EMS installeret, så opstår problemet ikke, så løsningen er indlysende.  Mens EMS er aktiveret som standard for enhver udgivelse efter 8. oktober 2019, hvis ikke, skal du sørge for at Aktivér support til Extend Master Secret (EMS) udvidelse.

Hvis du er IT-administrator, skal du sørge for at understøtte EMS-genoptagelse som defineret af RFC 7627 fuldt ud.

2] Fjern TLS_DHE_ * chifferpakker

Hvis operativsystemet ikke understøtter EMS, skal it-administratoren fjerne TLS_DHE_ * -krypteringspakker fra listen over krypteringspakker i TLS-klientenhedens operativsystem. Komplet dokumentation til prioritering af Schannel Cipher Suites er tilgængelig.

Når det er sagt, er disse en midlertidig løsning, og deaktivering af dem betyder kun, at du inviterer et mand-i-midten-angreb

3] Aktivér / deaktiver EMS på Windows 10 / Windows Server

Hvis du for ethvert TLS-problem havde deaktiveret EMS på din computer, skal du bruge registreringsdatabaseindstillingerne på både server og klient for at aktivere det.

• Åbn Registreringseditor
• Naviger til HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • På TLS-server: DisableServerExtendedMasterSecret: 0
  • På TLS-klient: DisableClientExtendedMasterSecret: 0

Hvis de ikke er tilgængelige, kan du oprette dem.

Jeg håber, at disse løsninger var nyttige til midlertidigt at løse det problem, du står over for med TLS. Hold øje med opdateringer, der ruller ud for at løse dette problem