Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Kopsavilkums

Transporta slāņa drošība (TLS) 1.0 un 1.1 ir drošības protokoli šifrēšanas kanālu izveidei datortīklos. Microsoft atbalsta šīs programmas kopš Windows XP un Windows Server 2003. Tomēr normatīvās prasības tiek mainītas. Turklāt TLS 1.0 pastāv jauni drošības iestatījumi. Tāpēc Microsoft ieteicams noņemt TLS 1.0 un 1.1 atkarības. Iesakām arī atspējot TLS 1.0 un 1.1 operētājsistēmas līmenī, ja iespējams. Papildinformāciju skatiet rakstā TLS 1.0 un 1.1 atspējošana. 2022. gada 20. septembra priekšskatījuma atjauninājumā TLS 1.0 un 1.1 atspējosim pēc noklusējuma lietojumprogrammām, kuru pamatā ir Winhttp un wininet. Tas ir daļa no pastāvīgas piepūles. Šis raksts palīdzēs jums tās atkārtoti iespējot. Šīs izmaiņas tiks atspoguļotas pēc Windows atjauninājumu instalēšanas, kas izlaisti 2022. gada 20. septembrī vai pēc tās.  

Darbība, piekļūstot TLS 1.0 un 1.1 saitēm pārlūkprogrammā

Pēc 2022. gada 20. septembra, atverot tīmekļa vietni, kas izmanto TLS 1.0 vai 1.1, tiks parādīts ziņojums. Skatiet 1. attēlu. Ziņojumā ir parādīts, ka vietne izmanto novecojušu vai nedrošu TLS protokolu. Lai novērstu šo problēmu, varat atjaunināt TLS protokolu uz TLS 1.2 vai vairāk. Ja tas nav iespējams, varat iespējot TLS, kā aprakstīts sadaļā TLS versijas 1.1 iespējošana un tālāk.

Internet Explorer logs, piekļūstot saitei TLS 1.0 un 1.1

1. attēls: pārlūkprogrammas logs, piekļūstot TLS 1.0 un 1.1 tīmekļa lapai

Darbība, piekļūstot TLS 1.0 un 1.1 saitēm winhttp lietojumprogrammās

Pēc atjauninājuma lietojumprogrammas atbilstoši laimēthttp var neizdoties. Kļūdas ziņojums ir šāds: "ERROR_WINHTTP_SECURE_FAILURE winhttpsendRequest operācijas laikā."

Darbība, piekļūstot TLS 1.0 un 1.1 saitēm pielāgotās UI lietojumprogrammās, pamatojoties uz Winhttp vai wininet

Ja lietojumprogramma mēģina izveidot savienojumu, izmantojot TLS 1.1 un tālāk, iespējams, neizdosies izveidot savienojumu. Kad aizverat lietojumprogrammu vai tā pārstāj darboties, tiek parādīts dialoglodziņš Programmas saderības palīgs (PcA), kā parādīts 2. attēlā.

Programmas saderības palīga uznirstošais logs pēc programmas aizvēršanas

2. attēls. Programmas saderības palīga dialoglodziņš pēc lietojumprogrammas aizvēršanas

PCA dialoglodziņā tiek parādīts "Šī programma, iespējams, nav palaista pareizi". Zem tā ir divas opcijas:

  • Programmas palaišana, izmantojot saderības iestatījumus

  • Šī programma darbojās pareizi

Programmas palaišana, izmantojot saderības iestatījumus

Izvēloties šo opciju, programma tiek atkārtoti atvērta. Tagad visas saites, kas izmanto TLS 1.0 un 1.1, darbojas pareizi. Pēc tam pca (PCA) dialogs netiks parādīts. Reģistra redaktors pievieno ierakstus šādiem ceļiem:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Ja šo opciju izvēlējāties kļūdas dēļ, varat izdzēst šos ierakstus. Ja tos izdzēšat, nākamajā programmas atvēršanas reizē tiks parādīts PCA dialoglodziņš.

Programmu saraksts, kurām jādarbojas, izmantojot saderības iestatījumus

3. attēls. To programmu saraksts, kuras jāpalaiž, izmantojot saderības iestatījumus

Šī programma darbojās pareizi

Izvēloties šo opciju, lietojumprogramma tiek aizvērta kā parasti. Nākamreiz, kad atvērsit programmu, dialoglodziņš PCA netiek parādīts. Sistēma bloķē visu TLS 1.0 un 1.1 saturu. Reģistra redaktors pievieno tālāk norādīto ierakstu ceļamComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store . Skatiet 4. attēlu. Ja šo opciju izvēlējāties kļūdas dēļ, šo ierakstu var izdzēst. Dzēšot ierakstu, nākamajā programmas atvēršanas reizē tiks parādīts PCA dialoglodziņš.

Ieraksts reģistra redaktorā, norādot, ka programma darbojās pareizi

4. attēls. Ieraksts reģistra redaktorā, kurā norādīts, ka programma darbojās pareizi

Svarīgi! Mantotie TLS protokoli ir iespējoti tikai konkrētām lietojumprogrammām. Tas ir iespējams pat tad, ja ir atspējoti sistēmas mēroga iestatījumi.

TLS versijas 1.1 un jaunākas versijas iespējošana (wininet un Internet Explorer iestatījumi)

Mēs neiesakām iespējot TLS 1.1 un tālāk, jo tie vairs netiek uzskatīti par drošiem. Tie ir neaizsargāti pret dažādiem uzbrukumiem, piemēram, POODLE uzbrukumu. Tāpēc pirms TLS 1.1 iespējošanas veiciet kādu no šīm darbībām:

  • Pārbaudiet, vai ir pieejama jaunāka lietojumprogrammas versija.

  • Lūdziet lietojumprogrammas izstrādātājam veikt konfigurācijas izmaiņas lietojumprogrammā, lai noņemtu TLS 1.1 un tālāk.

Ja neviens no risinājumiem nedarbotos, pastāv divi veidi, kā iespējot mantotos TLS protokolus sistēmas mēroga iestatījumos:

  • Interneta opcijas

  • Grupas politikas redaktors

Interneta opcijas

Lai atvērtu sadaļu Interneta opcijas, uzdevumjoslas meklēšanas lodziņā ierakstiet Interneta opcijas. Varat arī atlasīt Mainīt iestatījumus dialoglodziņā, kas parādīts 1. attēlā. Cilnē Papildu ritiniet uz leju iestatījumu panelī . Šeit varat iespējot vai atspējot TLS protokolus.

Internet Options window

5. attēls. Dialoglodziņš Interneta rekvizīti

The grupas politika Editor

Lai atvērtu grupas politika, ierakstiet gpedit.msc uzdevumjoslas meklēšanas lodziņā. Tiek parādīts 6. attēlā redzamais logs. 

Grupas politikas redaktora logs

Figure 6: grupas politika Editor window

  1. Naviģējiet uz local computer Policy > (Computer Configuration or User Configuration) > Administrative Templets > Windows Components > Internet Explorer > Internet vadības panelis > Advanced Page > Turn off encryption support. Skatiet 7. attēlu.

  2. Veiciet dubultklikšķi uz Izslēgt šifrēšanas atbalstu.

    Ceļš uz šifrēšanas atbalsta izslēgšana programmā GPedit.msc

    7. attēls. Ceļš, lai izslēgtu šifrēšanas atbalstu programmā grupas politika Editor

  3. Atlasiet opciju Iespējots . Pēc tam izmantojiet nolaižamo sarakstu, lai atlasītu TLS versiju, ko vēlaties iespējot, kā parādīts 8. attēlā.

    Iespējotā šifrēšanas atbalsta izslēgšana ar nolaižamo sarakstu, kurā redzamas dažādas opcijas

    8. attēls. Šifrēšanas atbalsta un nolaižamā saraksta izslēgšana

Tiklīdz šī politika ir iespējota grupas politika redaktorā, to nevar mainīt sadaļā Interneta opcijas. Piemēram, ja atlasāt Lietot SSL3.0 un TLS 1.0, visas pārējās opcijas nebūs pieejamas sadaļā Interneta opcijas. Skatiet 9. attēlu. Interneta opciju iestatījumus nevar mainīt, ja datora redaktorā iespējojat šifrēšanas grupas politika atbalstu.

Interneta opcijas ar pelēkotu SSL un TLS iestatījumu

9. attēls: interneta opcijas, kurās tiek rādīti nepieejami SSL un TLS iestatījumi

TLS versijas 1.1 un jaunākas versijas iespējošana (laimēthttp iestatījumi)

Skatiet rakstu Atjaunināšana, lai iespējotu TLS 1.1 un TLS 1.2 kā noklusējuma drošos protokolus operētājsistēmā WinHTTP sistēmā Windows.

Svarīgi reģistra ceļi (wininet un Internet Explorer iestatījumi)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Šeit varat atrast SecureProtocols, kas saglabā pašlaik iespējoto protokolu vērtību, ja izmantojat grupas politika redaktoru.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Šeit varat atrast SecureProtocols, kas saglabā pašlaik iespējoto protokolu vērtību, ja izmantojat interneta opcijas.

  • grupas politika SecureProtocols prioritāte ir attiecībā pret iestatījuma opciju Interneta opcijas.

Insecure TLS atkāpšanās iespējošana

Iepriekš minētās modifikācijas iespējos TLS 1.0 un TLS 1.1. Tomēr tās neiespējos TLS atkāpjumversāciju. Lai iespējotu TLS atkāpšanos, ir jāiestata EnableInsecureTlsFallback uz 1 reģistrā zem ceļiem.

  • Iestatījumu maiņa: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Politikas iestatīšana: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Ja enableInsecureTlsFallback nav, izveidojiet jaunu DWORD ierakstu un iestatiet to uz 1.

Svarīgi reģistra ceļi

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Pēc noklusējuma tā ir FALSE. Iestatot vērtību, kas nav nulle, vairs netiks iestatīti pielāgoti protokoli, izmantojot winhttp opciju.

  2. EnableInsecureTlsFallback 

    • Iestatījumu maiņa: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Politikas iestatīšana: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Pēc noklusējuma tā ir FALSE. Iestatot vērtību, kas nav nulle, lietojumprogrammas atskan uz nedrošiem protokoliem (TLS1.0 un 1.1), ja handshake neizdodas ar drošiem protokoliem (tls1.2 un vairāk).

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.