Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Kokkuvõte

Transpordikihi turve (TLS) 1.0 ja 1.1 on turbeprotokollid arvutivõrkude kaudu krüptimiskanalite loomiseks. Microsoft on neid alates Windows XP-st ja Windows Server 2003-st toetanud. Regulatiivsed nõuded muutuvad siiski. Samuti on TLS 1.0-s uusi nõrkusi. Seega soovitab Microsoft eemaldada TLS 1.0 ja 1.1 sõltuvused. Samuti soovitame võimaluse korral TLS 1.0 ja 1.1 operatsioonisüsteemi tasemel keelata. Lisateavet leiate teemast TLS 1.0 ja 1.1 keelamine. 20. septembri 2022 eelvaatevärskenduses keelame winhttp ja winineti põhiste rakenduste jaoks vaikimisi TLS 1.0 ja 1.1. See on osa pidevast pingutusest. See artikkel aitab teil need uuesti lubada. Need muudatused kajastuvad pärast 20. septembril 2022 või hiljem välja antud Windowsi värskenduste installimist.  

Käitumine brauseris TLS 1.0 ja 1.1 linkidele juurdepääsemisel

Pärast 20. septembrit 2022 kuvatakse teade, kui brauser avab veebisaidi, mis kasutab TLS 1.0 või 1.1. Vt joonis 1. Teates öeldakse, et sait kasutab aegunud või ebaturvalist TLS-protokolli. Selle probleemi lahendamiseks saate TLS-protokolli värskendada versioonile TLS 1.2 või uuemale versioonile. Kui see pole võimalik, saate TLS-i lubada, nagu on kirjeldatud artiklis TLS-i versiooni 1.1 ja järgmiste versioonide lubamine.

Internet Exploreri aken juurdepääsul TLS 1.0 ja 1.1 lingile

Joonis 1: brauseriaken TLS 1.0 ja 1.1 veebilehele juurdepääsul

Käitumine TLS 1.0 ja 1.1 linkidele juurdepääsul winhttp rakendustes

Pärast värskendamist võivad win-põhised rakendused nurjuda. Tõrketeade on "ERROR_WINHTTP_SECURE_FAILURE toimingu WinHttpSendRequest sooritamisel".

Käitumine TLS 1.0 ja 1.1 linkidele juurdepääsul kohandatud kasutajaliidese rakendustes winhttp või wininet alusel

Kui rakendus proovib luua ühendust TLS 1.1 ja selle all, võib ühendus näida nurjumas. Kui sulgete rakenduse või see lakkab töötamast, kuvatakse dialoogiboks Programmide ühildamise abiline (PCA), nagu on näidatud joonisel 2.

Programmiühilduvuse abilise hüpikaken pärast rakenduse sulgemist

Joonis 2. Programmide ühildamise abilise dialoog pärast rakenduse sulgemist

PcA dialoogiboksis kuvatakse teade "See programm ei pruugi õigesti töötada". Selle all on kaks võimalust.

  • Programmi käivitamine ühilduvussätete abil

  • See programm jooksis õigesti

Programmi käivitamine ühilduvussätete abil

Kui valite selle suvandi, avatakse rakendus uuesti. Nüüd töötavad kõik TLS 1.0 ja 1.1 kasutavad lingid õigesti. Pärast seda ei kuvata dialoogi PCA. Registriredaktor lisab kirjed järgmistesse teedesse.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Kui valisite selle suvandi kogemata, saate need kirjed kustutada. Kui need kustutate, kuvatakse dialoogiboks PCA järgmine kord, kui rakenduse avate.

Ühilduvussätete abil käivitatavate programmide loend

Joonis 3. Programmide loend, mis peaksid töötama ühilduvussätete abil

See programm jooksis õigesti

Selle suvandi valimisel sulgub rakendus tavaliselt. Järgmine kord, kui avate rakenduse uuesti, ei kuvata dialoogi PCA. Süsteem blokeerib kogu TLS 1.0 ja 1.1 sisu. Registriredaktor lisab teeleComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store järgmise kirje. Vt joonis 4. Kui valisite selle suvandi kogemata, saate selle kirje kustutada. Kirje kustutamisel kuvatakse rakenduse järgmisel avamisel PCA dialoog.

Registriredaktorisse sisestamine, mis määrab, et rakendus jooksis õigesti

Joonis 4. Registriredaktorisse sisestamine, mis näitab, et rakendus jooksis õigesti

Oluline TLS-i pärandprotokollid on lubatud ainult kindlate rakenduste jaoks. See kehtib isegi siis, kui need on süsteemiülestes sätetes keelatud.

TLS-i versiooni 1.1 ja uuema versiooni lubamine (wininet ja Internet Exploreri sätted)

TLS 1.1 ja uuema versiooni lubamine pole soovitatav, kuna neid ei peeta enam turvaliseks. Nad on haavatavad erinevate rünnakute suhtes, nagu POODLE rünnak. Seega tehke enne TLS 1.1 lubamist ühte järgmistest.

  • Kontrollige, kas rakenduse uuem versioon on saadaval.

  • Paluge rakenduse arendajal teha rakenduses konfiguratsioonimuudatused, et eemaldada sõltuvus TLS 1.1-st ja allpool.

Kui ükski lahendus ei tööta, on süsteemiülestes sätetes TLS-i pärandprotokollide lubamiseks kaks võimalust.

  • Interneti-suvandid

  • Rühmapoliitika redaktor

Interneti-suvandid

Interneti-suvandite avamiseks tippige tegumiriba otsinguväljale Interneti-suvandid . Soovi korral saate valida ka nupu Muuda sätteid joonisel 1 kujutatud dialoogiboksis. Liikuge vahekaardil Täpsemalt paanil Sätted allapoole. Seal saate TLS-protokollid lubada või keelata.

Interneti-suvandite aken

Joonis 5: Interneti-atribuutide dialoog

Rühmapoliitika redaktor

Rühmapoliitika Editori avamiseks tippige tegumiriba otsinguväljale gpedit.msc. Kuvatakse joonisel 6 kujutatud aken. 

Rühmapoliitika redaktori aken

Joonis 6: Rühmapoliitika aken Korrektor

  1. Liikuge kohaliku arvuti poliitika > (arvuti konfiguratsioon või kasutaja konfiguratsioon) > Haldustemplid > Windowsi komponendid> Internet Explorer > Internet Juhtpaneel > täpsem leht > Lülita krüptimistugi välja. Vt joonis 7.

  2. Topeltklõpsake valikut Lülita krüptimistugi välja.

    GPedit.msc krüptimise toe väljalülitamise tee

    Joonis 7. Krüptimistoe väljalülitamise tee Rühmapoliitika Editoris

  3. Valige suvand Lubatud . Seejärel valige ripploendist TLS-i versioon, mille soovite lubada, nagu on näidatud joonisel 8.

    Krüptimistoe väljalülitamine rippmenüüs, kus on kuvatud erinevad võimalused

    Joonis 8. Krüptimistoe ja ripploendi väljalülitamine

Kui olete poliitika Rühmapoliitika redaktoris lubanud, ei saa te seda Interneti-suvandite kaudu muuta. Näiteks kui valite Kasuta SSL3.0 ja TLS 1.0, pole kõik muud suvandid Interneti-suvandite jaotises saadaval. Vt joonis 9. Interneti-suvandite sätteid ei saa muuta, kui lubate Rühmapoliitika redaktoris krüptimistoe väljalülitamise.

Interneti-suvandid, kus on tuhmid SSL- ja TLS-i sätted

Joonis 9. Interneti-suvandid, kus on kuvatud kättesaamatud SSL- ja TLS-i sätted

TLS-i versiooni 1.1 ja uuema versiooni lubamine (winhttp settings)

Windowsis WinHTTP-s TLS 1.1 ja TLS 1.2 vaiketurvaliste protokollide lubamiseks vaadake teemat Värskendus.

Olulised registriteed (wininet ja Internet Exploreri sätted)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Siit leiate SecureProtocolsi, mis talletab praegu lubatud protokollide väärtuse, kui kasutate Rühmapoliitika Editori.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Siit leiate SecureProtocolsi, mis salvestab praegu lubatud protokollide väärtuse, kui kasutate Interneti-suvandeid.

  • Rühmapoliitika SecureProtocols alistab Interneti-suvandite komplekti.

Ebaturvaline TLS-i taande lubamine

Ülaltoodud muudatused võimaldavad TLS 1.0 ja TLS 1.1. Siiski ei luba need TLS-i taandeid. TLS-i taande lubamiseks peate järgmiste teede all registris määrama EnableInsecureTlsFallbacki väärtuseks 1.

  • Sätete muutmiseks tehke järgmist. SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Poliitika määramine: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Interneti-sätted

Kui EnableInsecureTlsFallback pole olemas, peate looma uue DWORD-kirje ja määrama selle väärtuseks 1.

Olulised registriteed

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Vaikimisi on see FALSE. Mittenullväärtuse määramisel lõpetavad rakendused kohandatud protokollide seadmise suvandi winhttp abil.

  2. EnableInsecureTlsFallback 

    • Sätete muutmiseks tehke järgmist. SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Poliitika määramine: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Interneti-sätted

    • Vaikimisi on see FALSE. Mittenullväärtuse seadmine võimaldab rakendustel naasta ebaturvalistele protokollidele (TLS1.0 ja 1.1), kui käepigistus nurjub turvaliste protokollidega (tls1.2 ja uuem).

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.