Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Příznaky

Při pokusu o připojení může dojít k selhání protokolu TLS (Transport Layer Security) nebo může vypršet časový limit. Může se vám také zobrazit jedna nebo více z následujících chyb:

  • „Požadavek byl přerušen: Nebylo možné vytvořit zabezpečený kanál SSL/TLS.“

  • Chyba 0x8009030f

  • Do protokolu událostí systému pro událost SCHANNEL 36887 byla zaznamenána chyba s kódem výstrahy 20 a popisem „Ze vzdáleného koncového bodu byla přijata následující výstraha o závažné chybě. Kód výstrahy o závažné chybě definovaný protokolem TLS: 20.​”

Příčina

Kvůli vynucenému bezpečnostnímu opatření pro chybu CVE-2019-1318 je u všech aktualizací pro podporované verze Windows vydaných 8. října 2019 nebo později vynuceno EMS (Extended Master Secret) pro obnovení, jak je definováno v RFC 7627. U připojení k zařízením a operačním systémům jiných výrobců, které nejsou kompatibilní, může docházet k problémům nebo můžou tato připojení selhat.

Další kroky

U připojení mezi dvěma zařízeními používajícími jakoukoli podporovanou verzi systému Windows by k tomu problému nemělo dojít, pokud mají tato zařízení všechny aktualizace. Tento problém nevyžaduje žádnou aktualizaci pro Windows. Tyto změny jsou vyžadovány kvůli problému se zabezpečením a dodržování bezpečnostních předpisů.

U všech operačních systémů, zařízení nebo služeb jiných výrobců, které nepodporují obnovení EMS, může docházet k problémům, které souvisí s připojeními TLS. Měli byste kontaktovat svého správce, výrobce nebo poskytovatele služeb a požádat o aktualizace, které plně podporují obnovení EMS, jak je definováno v RFC 7627.

Poznámka: Společnost Microsoft nedoporučuje zakázání EMS. Pokud bylo EMS dříve výslovně zakázáno, můžete ho znovu povolit nastavením následujících hodnot klíčů registru:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Na serveru TLS: DisableServerExtendedMasterSecret: 0 Na klientovi TLS: DisableClientExtendedMasterSecret: 0

Upřesňující informace pro správce

1. Zařízení s Windows, které se pokouší připojit prostřednictvím protokolu (Transport Layer Security) k zařízení, které nepodporuje EMS (Extended Master Secret) při vyjednávání šifrovacích sad TLS_DHE_*, může občas selhat – k selhání dochází přibližně u 1 z 256 pokusů. Chcete-li tento problém zmírnit, implementujte jedno z následujících řešení uvedených v pořadí podle preference:

  • Povolte podporu rozšíření EMS (Extended Master Secret) při navazování připojení s protokolem TLS v klientských i serverových operačních systémech.

  • U operačních systémů, které EMS nepodporují, odeberte šifrovací sady TLS_DHE_* ze seznamu šifrovacích sad v operačním systému klientského zařízení používajícího protokol TLS. Pokyny, jak to udělat ve Windows, najdete v článku o upřednostňování šifrovacích sad Schannel.

2. Operační systémy, které odesílají zprávy s žádostmi o certifikát jen v rámci úplného procesu handshake po obnovení, nejsou kompatibilní s RFC 2246 (TLS 1.0) nebo RFC 5246 (TLS 1.2) a způsobí selhání každého připojení. Dokumenty RFC nezaručují obnovení, ale můžou být používány podle uvážení klienta a serveru TLS. Pokud se setkáte s tímto problémem, budete muset kontaktovat výrobce nebo poskytovatele služeb a požádat o aktualizace, které splňují standardy RFC.3. FTP servery nebo klientské počítače, které nejsou kompatibilní s RFC 2246 (TLS 1.0) a RFC 5246 (TLS 1.2), pravděpodobně nepřenesou soubory při obnovení nebo při zkráceném procesu handshake a způsobí selhání každého připojení. Pokud se setkáte s tímto problémem, budete muset kontaktovat výrobce nebo poskytovatele služeb a požádat o aktualizace, které splňují standardy RFC.

Aktualizace, kterých se to týká

S tímto problémem se můžete setkat u všech nejnovějších kumulativních aktualizací LCU nebo u měsíčních kumulativních aktualizací vydaných 8. října 2019 nebo později pro platformy, kterých se to týká:

  • KB4517389 – kumulativní aktualizace LCU pro Windows 10 verze 1903.

  • KB4519338 – kumulativní aktualizace LCU pro Windows 10 verze 1809 a Windows Server 2019.

  • KB4520008 – kumulativní aktualizace LCU pro Windows 10 verze 1803.

  • KB4520004 – kumulativní aktualizace LCU pro Windows 10 verze 1709.

  • KB4520010 – kumulativní aktualizace LCU pro Windows 10 verze 1703.

  • KB4519998 – kumulativní aktualizace LCU pro Windows 10 verze 1607 a Windows Server 2016.

  • KB4520011 – kumulativní aktualizace LCU pro Windows 10 verze 1507.

  • KB4520005 – měsíční kumulativní aktualizace pro Windows 8.1 a Windows Server 2012 R2.

  • KB4520007 – měsíční kumulativní aktualizace pro Windows Server 2012.

  • KB4519976 – měsíční kumulativní aktualizace pro Windows 7 SP1 a Windows Server 2008 R2 SP1.

  • KB4520002 – měsíční kumulativní aktualizace pro Windows Server 2008 SP2.

S tímto problémem se můžete setkat u následující aktualizace typu Jen aktualizace zabezpečení s datem vydání 8. října 2019 pro platformy, kterých se to týká:

  • KB4519990 – jen aktualizace zabezpečení pro Windows 8.1 a Windows Server 2012 R2.

  • KB4519985 – jen aktualizace zabezpečení pro Windows Server 2012 a Windows Embedded 8 Standard.

  • KB4520003 – jen aktualizace zabezpečení pro Windows 7 SP1 a Windows Server 2008 R2 SP1.

  • KB4520009 – jen aktualizace zabezpečení pro Windows Server 2008 SP2.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider