Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

תסמינים

בעת ניסיון להתחבר, Transport Layer Security ‏(TLS) ו- Secure Sockets Layer ‏(SSL) עלולות להיכשל לסירוגין או להיפסק לאחר זמן קצוב. ייתכן גם שייתקבלו אחת או יותר מהשגיאות הבאות:

  • 'הבקשה בוטלה: לא הייתה אפשרות ליצור ערוץ SSL/TLS מאובטח'

  • שגיאה 0x8009030f

  • שגיאה שנרשמה ביומן האירועים של המערכת עבור ,SCHANNEL event 36887 עם קוד התראה 20 והתיאור, 'התקבלה התראה מכרעת מנקודת הקצה המרוחקת'. קוד ההתראה המכרעת שהוגדר בפרוטוקול TLS הוא 20​'.

סיבה

עקב אכיפה הקשורה לאבטחה עבור CVE-2019-1318, כל העדכונים עבור גירסאות נתמכות של Windows שהופצו ב-8 באוקטובר, 2019 או מאוחר יותר אוכפים Extended Master Secret (EMS) לחידוש כפי שהוגדר על ידי RFC 7627, התקשרויות למכשירי ספקים חיצוניים ו- OSes שאינן תואמות עשויות לכלול בעיות או כשלים.

השלבים הבאים

לחיבורים בין שני מכשירים שבהם פועלת גירסה נתמכת של Windows לא אמורה להיות בעיה זו כאשר היא מעודכנת באופן מלא. אין עדכון עבור Windows הדרוש לבעיה זו. שינויים אלה נדרשים כדי לטפל בבעיית אבטחה ובתאימות אבטחה.

מערכת הפעלה של צד שלישי, מכשיר או שירות שאינם תומכים בחידוש EMS עשויים לכלול בעיות הקשורות לחיבורי TLS. עליך לפנות אל מנהל המערכת, ליצרן או לספק השירות שלך לקבלת עדכונים התומכים באופן מלא בחידוש EMS כמוגדר על ידי RFC 7627.

הערה ‏Microsoft אינה ממליצה להפוך את EMS ללא זמינה. אם בעבר EMS הפכה לבלתי זמינה באופן מפורש, ניתן להפעיל אותה מחדש באמצעות קביעת ערכי מפתח הרישום הבאים:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

בשרת TLS: DisableServerExtendedMasterSecret: 0 בלקוח TLS: ‏DisableClientExtendedMasterSecret: 0

מידע מתקדם עבור מנהלי מערכת

1. מכשיר Windows מנסה ליצור קשר Transport Layer Security (TLS) עם מכשיר אשר אינו תומך Extended Master Secret (EMS) כאשר TLS_DHE_* cipher suites בהתקשרות עלול לצור כשלים ביחס של בערך 1 מתוך 256 ניסיונות. כדי לצמצם את הבעיה, עליך ליישם את אחד מהפתרונות הבאים לפי סדר הופעתם:

  • הפוך את האפשרות של תמיכה בהרחבות Extend Master Secret (EMS) בעת ביצוע חיבורי TLS הן בצד הלקוח והן בצד מערכת ההפעלה של השרת.

  • עבור מערכות הפעלה שאינן תומכות ב- EMS, הסר את ערכות ההצפנה של TLS_DHE* מרשימת ערכת ההצפנה במערכת ההפעלה של TLS הלקוח. לקבלת הוראות אודות אופן הביצוע ב- Windows, ראה סדרי עדיפויות של ערכות צופן Schannel.

2. מערכות הפעלה אשר רק שולחות הודעות בקשה לאישור בלחיצת יד מלאה לאחר חידוש אינן תואמות RFC 2246 (TLS 1.0) או RFC 5246 (TLS 1.2) וייצרו כשל בכל התקשרות. החידוש אינו מובטח על-ידי מסמכי RFC, אך ניתן להשתמש בו לפי שיקול הדעת של TLS הלקוח והשרת. אם תיתקל בבעיה זו, יהיה עליך לפנות ליצרן או לספק השירות כדי לקבל עדכונים התואמים לתקני RFC.3. שרתי FTP או לקוחות שאינם תואמים ל-rfc 2246 (tls 1.0 ) ו-rfc 5246 ( tls 1.2) עלולים שלא להעביר קבצים בלחיצת לחיצת יד או מקוצרת ולגרום לכל חיבור להיכשל. אם תיתקל בבעיה זו, יהיה עליך לפנות ליצרן או לספק השירות עבור עדכונים התואמים לתקני RFC.

עדכונים מושפעים

העדכונים המצטברים האחרונים (LCU) והאוספים החודשיים שפורסמו החל מה- 8 באוקטובר, 2019 עבור הפלטפורמות המושפעות עשויים לסבול מבעיה זו:

  • KB4517389 עדכון מצטבר עבור Windows 10, גירסה 1903.

  • KB4519338 עדכון מצטבר עבור Windows 10, גירסה 1809 ו- Windows Server 2019.

  • KB4520008 עדכון מצטבר עבור Windows 10, גירסה 1803.

  • KB4520004 עדכון מצטבר עבור Windows 10, גירסה 1709.

  • KB4520010 עדכון מצטבר עבור Windows 10, גירסה 1703.

  • KB4519998 עדכון מצטבר עבור Windows 10, גירסה 1607 ו- Windows Server 2016.

  • KB4520011 עדכון מצטבר עבור Windows 10, גירסה 1507.

  • אוסף עדכונים חודשי KB4520005 עבור Windows 8.1 ו- Windows Server 2012 R2.

  • אוסף עדכונים חודשי KB4520007‎ עבור Windows Server 2012.

  • אוסף עדכונים חודשי KB4519976‎ עבור Windows 7 SP1 ו- Windows Server 2008 R2 SP1

  • אוסף עדכונים חודשי KB4520002 עבור Windows Server 2008 SP2

עדכוני האבטחה בלבד הבאים שפורסמו ב- 8 באוקטובר, 2019 עבור הפלטפורמות המושפעות עשויים לסבול מבעיה זו:

  • עדכוני אבטחה בלבד KB4519990 עבור Windows 8.1 ו- Windows Server 2012 R2.

  • עדכון אבטחה בלבד KB4519985‎ עבור Windows Server 2012 ו- Windows Embedded 8 Standard.

  • עדכון אבטחה בלבד KB4520003‎ עבור Windows 7 SP1 ו- Windows Server 2008 R2 SP1

  • עדכוני אבטחה בלבד KB4520009 עבור Windows Server 2008 SP2

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.