Tunnused
Transpordikihi turbe (TLS) ühendused võivad ühenduse loomisel nurjuda või aeguda. Teile võidakse kuvada ka üks või mitu järgmistest tõrgetest:
-
„Taotlus katkestati: SSL-i/TLS-i turvalist kanalit ei saanud luua”
-
tõrge 0x8009030f
-
SCHANNELi sündmuse 36887 süsteemisündmuse logis logiti tõrge, mille hoiatuse kood on 20 ja kirjeldus on „Kaug-lõpp-punktist saadi pöördumatu hoiatus. TLS-protokollis määratud pöördumatu hoiatuse kood on 20.”
Põhjus
CVE-2019-1318 turvalisusega seotud jõustamise tõttu jõustavad laiendatud juhtsaladuse (EMS) jätkamise kõik 8. oktoobril 2019 või hiljem avaldatud Windowsi toetatud versioonide värskendused vastavalt versioonile RFC 7627. Ühendused muude tootjate seadmete ja OS-idega, mis ei vasta nõuetele, võivad põhjustada probleeme või nurjuda.
Järgmised etapid
Kahe mõne Windowsi toetatud versiooniga seadme vahelised ühendused ei tohiks põhjustada neid probleeme pärast täielikku värskendamist. Selle probleemi jaoks pole Windowsi värskendust vaja. Need muudatused on vajalikud turbeprobleemi lahendamiseks ja turbenõuetele vastamiseks.
Mis tahes muu tootja operatsioonisüsteemil, seadmel või teenusel, mis ei toeta laiendatud juhtsaladuse uuesti alustamist, võib esineda transpordikihi turbe ühendustega seotud probleeme. Pöörduge oma administraatori, tootja või teenusepakkuja poole, et saada värskendusi, mis toetavad täielikult EMS-i jätkamist vastavalt versioonile RFC 7627.
Märge Microsoft ei soovita EMS-i keelata. Kui EMS on keelatud, saab selle uuesti lubada järgmiste registrivõtmete väärtuste seadmisega:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
TLS-serveris: DisableServerExtendedMasterSecret: 0 TLS-kliendis: DisableClientExtendedMasterSecret: 0
Täpsem teave administraatoritele
1. Windowsi seade proovib luua transpordikihi turbe (TLS) ühendust seadmega, mis ei toeta laiendatud juhtsaladust (EMS), kui TLS_DHE_* šifrikomplekte kooskõlastatakse, ning see võib aeg-ajalt nurjuda 1 korral 256-st. Selle probleemi lahendamiseks rakendage üks järgmistest eelistuslikus järjekorras loetletud lahendustest:
-
Lubage laiendatud juhtsaladuse (EMS) laiendite tugi transpordikihi turbe (TLS) ühenduste loomisel nii kliendi kui ka serveri opereerimissüsteemis.
-
Operatsioonisüsteemide korral, mis ei toeta EMS-i, eemaldage TLS_DHE_* šifrikomplektid TLS-kliendi seadme OS-i šifrikomplektide loendist. Juhised selle kohta, kuidas seda Windowsis teha, leiate teemast Schanneli šifrikomplektide prioriseerimine.
RFC 2246 (TLS 1.0) või RFC 5246 (TLS 1.2) nõuetele ja põhjustavad kõikide ühenduste nurjumise. RFC-d ei taga jätkamist, kuid seda võib kasutada TLS-kliendi ja -serveri äranägemise järgi. Selle probleemi ilmnemisel peate RFC standarditele vastavate värskenduste saamiseks pöörduma tootja või teenusepakkuja poole. 3. FTP-serverid või kliendid, kes ei vasta RFC 2246 (TLS 1.0) ja RFC 5246 (TLS 1.2) nõuetele, ei pruugi taaskäivitamisel või lühendatud käepigistusel faile üle kanda ja põhjustavad kõikide ühenduste nurjumise. Selle probleemi ilmnemisel peate RFC standarditele vastavate värskenduste saamiseks pöörduma tootja või teenusepakkuja poole.
2. Opsüsteemid, mis saadavad serditaotluse teateid ainult pärast jätkamist täieliku käepigistuse korral, ei vasta versiooniMõjutatud värskendused
See probleem võib esineda mõnedes uusimates koondvärskendustes (LCU) või igakuistes värskenduskomplektides, mis anti mõjutatud platvormide jaoks välja 8. oktoobril 2019 või hiljem.
-
KB4517389 koondvärskendus Windows 10 versiooni 1903 jaoks.
-
KB4519338 koondvärskendus Windows 10 versiooni 1809 ja Windows Server 2019 jaoks.
-
KB4520008 koondvärskendus Windows 10 versiooni 1803 jaoks.
-
KB4520004 koondvärskendus Windows 10 versiooni 1709 jaoks.
-
KB4520010 koondvärskendus Windows 10 versiooni 1703 jaoks.
-
KB4519998 koondvärskendus Windows 10 versiooni 1607 ja Windows Server 2016 jaoks.
-
KB4520011 koondvärskendus Windows 10 versiooni 1507 jaoks.
-
KB4520005 igakuine värskenduskomplekt Windows 8.1 ja Windows Server 2012 R2 jaoks.
-
KB4520007 igakuine värskenduskomplekt Windows Server 2012 R2 jaoks.
-
KB4519976 igakuine värskenduskomplekt Windows 7 SP1 ja Windows Server 2008 R2 SP1 jaoks.
-
KB4520002 igakuine värskenduskomplekt Windows Server 2008 SP2 jaoks
Järgmises ainult turbevärskenduses, mis anti välja 8. oktoobril 2019 mõjutatud platvormide jaoks, võib esineda järgmine probleem:
-
KB4519990 ainult turbevärskendus Windows 8.1 ja Windows Server 2012 R2 jaoks.
-
KB4519985 ainult turbevärskendus Windows Server 2012 ja Windows Embedded 8 Standardi jaoks.
-
KB4520003 ainult turbevärskendus Windows 7 SP1 ja Windows Server 2008 R2 SP1 jaoks
-
KB4520009 ainult turbevärskendus Windows Server 2008 SP2 jaoks