Tünetek
A csatlakozáskor előfordulhat, hogy a Transport Layer Security (TLS) sikertelen vagy időtúllépést okozhat. Előfordulhat, hogy egy vagy több is jelentkezik a következő hibák közül:
-
„A kérelem megszakadt: nem sikerült SSL/TLS biztonságos csatornát létrehozni”
-
0x8009030f hiba
-
A rendszer SCHANNEL eseménynaplójában a 36887-es eseményhez 20-as riasztási kóddal hiba jelentkezett, „Végzetes riasztás érkezett a távoli végponttól”. A TLS protokoll a következő végzetes riasztási kódot állapította meg: 20.”
Oka
A CVE-2019-1318-hoz kapcsolódó biztonsági kényszerítés miatt a 2019. október 8-án vagy később kiadott Windows támogatott verzióinak minden frissítése kényszeríti a kiterjesztett főkulcs (EMS) folytatását az RFC 7627 által meghatározott módon. A Harmadik féltől származó eszközökhöz és a nem kompatibilis operációs rendszerekhez való csatlakozás problémákba ütközhet, vagy meghiúsulhat.
Következő lépések
A Windows bármely támogatott verzióját futtató két eszköz közötti kapcsolat esetén ez a probléma nem jelentkezik, amikor naprakészek. A probléma kapcsán nincs szükség Windows-frissítésre. Ezek a módosítások egy biztonsági probléma javításához és a biztonsági megfelelőséghez szükségesek.
Bármely harmadik féltől származó operációs rendszer, eszköz vagy szolgáltatás, amely nem támogatja az EMS folytatását, TLS-kapcsolatokkal kapcsolatos problémákat mutathat. Az RFC 7627 által meghatározott frissítésekért, amelyek teljes mértékben támogatják az EMS folytatását, lépjen kapcsolatba a rendszergazdával, a gyártóval vagy a szolgáltatóval.
Megjegyzés A Microsoft nem javasolja az EMS letiltását. Ha az EMS előzőleg kifejezetten le lett tiltva, a következő beállításkulcs-értékek beállításával újból engedélyezheti:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
A TLS-kiszolgálón: DisableServerExtendedMasterSecret: 0 A TLS-kliensen: DisableClientExtendedMasterSecret: 0
Speciális információk a rendszergazdák számára
1. Egy windowsos eszköz, amely Transport Layer Security (TLS)-kapcsolatot próbál meg létrehozni egy olyan eszközhöz, amely nem támogatja a kiterjesztett főkulcsot (EMS) a TLS_DHE_* rejtjelcsomagok egyeztetése során 256 kísérletből kb. 1 alkalommal. A probléma enyhítése érdekében a következő megoldások egyikét kell alkalmazni az Önnek megfelelő sorrendben:
-
Engedélyezze a kiterjesztett főkulcs (EMS) kiterjesztések támogatását, amikor TLS-kapcsolatokat hoz létre az ügyfél és a kiszolgáló operációs rendszerén.
-
Az EMS-t nem támogató operációs rendszerek esetén távolítsa el a TLS_DHE_* rejtjelcsomagokat a TLS-klienseszköz operációs rendszerének rejtjelcsomaglistájából. A Schannel-rejtjelcsomagok rangsorolása témakörben találja az utasításokat a végrehajtáshoz Windows rendszerben.
RFC 2246 (TLS 1.0) vagy RFC 5246 (TLS 1.2) kiterjesztéssel, és minden egyes csatlakozás meghiúsulását okozza. A munkamenetet a szabványjavaslatok nem garantálják, de a TLS-ügyfél és -kiszolgáló megítélése szerint is használható. Ha ilyen problémát tapasztal, fel kell vennie a kapcsolatot a gyártóval vagy a szolgáltatóval azokért a frissítésekért, amelyek megfelelnek a szabványjavaslatok követelményeinek. 3. FTP-kiszolgálók vagy -kliensek, amelyek nem kompatibilisek az RFC 2246 (TLS 1.0) és az RFC 5246 (TLS 1.2) kiterjesztésekkel, előfordulhat, hogy nem tudnak fájlokat továbbítani a munkamenetben vagy a rövidített kézfogás során, így minden kapcsolat megszakadását okozzák. Ha ilyen problémát tapasztal, fel kell vennie a kapcsolatot a gyártóval vagy a szolgáltatóval azokért a frissítésekért, amelyek megfelelnek a szabványjavaslatok követelményeinek.
2. Azok az operációs rendszerek, amelyek csak tanúsítványkérelmi üzeneteket küldenek teljes kézfogással egy olyan munkamenetet követően, amely nem kompatibilis azÉrintett frissítések
Bármely legújabb összegző frissítésben (LCU) és a 2019. október 8-án vagy később, az érintett platformokra kiadott havi összegző frissítésekben fordulhat elő ez a probléma:
-
KB4517389 LCU a Windows 10 1903-as verziójára vonatkozóan.
-
KB4519338 LCU a Windows 10 1809-es verziójához és a Windows Server 2019-hoz.
-
KB4520008 LCU a Windows 10 1803-as verziójára vonatkozóan.
-
KB4520004 LCU a Windows 10 1709-as verziójára vonatkozóan.
-
KB4520010 LCU a Windows 10 1703-as verziójára vonatkozóan.
-
KB4519998 LCU a Windows 10 1607-es verziójához és a Windows Server 2016-hoz.
-
KB4520011 LCU a Windows 10 1507-as verziójára vonatkozóan.
-
KB4520005 Havi kumulatív frissítés a Windows 8.1-hez és a Windows Server 2012 R2-höz.
-
KB4520007 Havi kumulatív frissítés a Windows Server 2012-höz.
-
KB4519976 Havi kumulatív frissítés a Windows 7 SP1-hez és a Windows Server 2008 R2 SP1-hez.
-
KB4520002 Havi kumulatív frissítés a Windows Server 2008 SP2-höz
A következő 2019. október 8-án, az érintett platformokra kiadott csak biztonsági frissítésekben fordulhat elő ez a probléma:
-
KB4519990 csak biztonsági frissítés a Windows 8.1-hez és a Windows Server 2012 R2-höz.
-
KB4519985 Csak biztonsági frissítés a Windows Server 2012-höz és a Windows Embedded 8 Standard verzióhoz.
-
KB4520003 Csak biztonsági frissítés a Windows 7 SP1-hez és a Windows Server 2008 R2 SP1-hez
-
KB4520009 Csak biztonsági frissítés a Windows Server 2008 SP2-höz