Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Pazīmes

Mēģinot izveidot savienojumu, transporta slāņa drošība (Transport Layer Security - TLS) un drošligzdu slānis (Secure Sockets Layer - SSL) var neizdoties vai var notikt taimauts. Iespējams, saņemsit vienu vai vairākas no tālāk norādītajām kļūdām.

  • "Pieprasījums tika pārtraukts: nevarēja izveidot drošu SSL/TLS kanālu"

  • kļūda 0x8009030f

  • Sistēmas notikumu žurnālā reģistrēta kļūda, kas attiecas uz SCHANNEL notikumu 36887 ar brīdinājuma kodu 20 un aprakstu: "Fatāls brīdinājums tika saņemts no attālā galapunkta". TLS protokola noteikts fatāla brīdinājuma kods ir 20.​"

Iemesls

Ar drošību saistītas izpildes dēļ attiecībā uz CVE-2019-1318, visi atjauninājumi Windows atbalstītajām versijām, kuras izlaistas 2019. gada 8. oktobrī vai vēlāk, atjaunošanai izpilda paplašināto galveno noslēpumu (EMS), kā to definē RFC 7627. Savienojumos ar neatbilstošām trešās puses ierīcēm un operētājsistēmām var rasties problēmas vai kļūmes.

Nākamās darbības

Savienojumos starp divām ierīcēm, kurās darbojas jebkura atbalstītā Windows versija, nevajadzētu rasties šai problēmai, kad versija ir pilnībā atjaunināta. Šīs problēmas novēršanai nav nepieciešams atjaunināt operētājsistēmu Windows. Minētās izmaiņas ir nepieciešamas, lai risinātu drošības problēmu un drošības atbilstību.

Jebkurai trešās puses operētājsistēmai, ierīcei vai pakalpojumam, kas neatbalsta EMS atjaunošanu, var rasties problēmas saistībā ar TLS savienojumiem. Sazinieties ar savu administratoru, ražotāju vai pakalpojumu sniedzēju, lai saņemtu atjauninājumus, kas pilnībā atbalsta EMS atjaunošanu, kā to nosaka RFC 7627.

Piezīme Microsoft neiesaka atspējot EMS. Ja EMS iepriekš tika īpaši atspējots, to var atkārtoti iespējot, iestatot šādas reģistra atslēgas vērtības:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

TLS serverī: DisableServerExtendedMasterSecret: 0 TLS klientā: DisableClientExtendedMasterSecret: 0

Papildu informācija administratoriem

1. Windows ierīcē, kas mēģina veikt transporta slāņa drošības (Transport Layer Security — TLS) savienojumu ar ierīci, kura neatbalsta paplašināto galveno noslēpumu (EMS), kad tiek apspriesti TLS_DHE_ * šifra komplekti, var periodiski rasties kļūme aptuveni 1 no 256 mēģinājumiem. Lai mazinātu šo problēmu, ieviesiet kādu no tālāk norādītajiem risinājumiem, kas ir norādīti vēlamajā secībā:

  • Iespējot atbalstu paplašinātā galvenā noslēpuma (EMS) paplašinājumiem, veicot TLS savienojumus gan klienta, gan servera operētājsistēmā.

  • Operētājsistēmām, kas neatbalsta EMS, noņemiet TLS_DHE_ * šifra komplektus no šifra komplektu saraksta TLS klienta ierīces OS. Norādījumus par to, kā to izdarīt operētājsistēmā Windows, skatiet rakstu Noteikt prioritātes droškanāla šifra komplektiem.

2. Operētājsistēmas, kas tikai sūta sertifikāta pieprasījuma ziņojumus pilnā izaicinājumrokasspiedienā pēc atsākšanas nav RFC 2246 (TLS 1,0) vai RFC 5246 (TLS 1.2) atbilstīgas, un tas izraisīs visu savienojumu kļūmi. RFC negarantē atjaunošanu, bet to pēc saviem ieskatiem var izmantot TLS klients un serveris. Ja sastopaties ar šo problēmu, sazinieties ar ražotāju vai pakalpojumu sniedzēju, lai saņemtu atjauninājumus, kas atbilst RFC standartiem.3. FTP serveriem vai klientiem, kas neatbilst RFC 2246 (TLS 1.0) un RFC 5246 (TLS 1.2), var neizdoties pārsūtīt failus atjaunošanā vai saīsinātā izaicinājumrokasspiedienā, un tie izraisa visu savienojumu kļūmi. Ja sastopaties ar šo problēmu, sazinieties ar ražotāju vai pakalpojumu sniedzēju, lai saņemtu atjauninājumus, kas atbilst RFC standartiem.

Ietekmētie atjauninājumi

Jebkādi jaunākie kumulatīvie atjauninājumi (LCU) vai ikmēneša apkopojumi atjauninājumi, kas paredzēti ietekmētajām platformām un izlaisti 2019. gada 8. oktobrī vai vēlāk, var saskarties ar tālāk norādīto problēmu.

  • KB4517389 LCU operētājsistēmas Windows 10 versijai 1903.

  • KB4519338 LCU operētājsistēmas Windows 10 versijai 1809 un Windows Server 2019.

  • KB4520008 LCU operētājsistēmas Windows 10 versijai 1803.

  • KB4520004 LCU operētājsistēmas Windows 10 versijai 1709.

  • KB4520010 LCU operētājsistēmas Windows 10 versijai 1703.

  • KB4519998 LCU operētājsistēmas Windows 10 versijai 1607 un Windows Server 2016.

  • KB4520011 LCU operētājsistēmas Windows 10 versijai 1507.

  • KB4520005 Windows 8.1 un Windows Server 2012 R2 ikmēneša apkopojums.

  • KB4520007 Windows Server 2012 ikmēneša apkopojums.

  • KB4519976 Windows 7 SP1 un Windows Server 2008 R2 SP1 ikmēneša apkopojums.

  • KB4520002 Windows Server 2008 SP2 ikmēneša apkopojums

Tālāk minētais tikai drošības atjauninājums, kas paredzēti ietekmētajām platformām un izlaists 2019. gada 8. oktobrī, var saskarties ar tālāk norādīto problēmu.

  • KB4519990 Windows 8.1 un Windows Server 2012 R2 paredzēts tikai drošības atjauninājums.

  • KB4519985 Windows Server 2012 un Windows Embedded 8 Standard tikai drošības atjauninājums.

  • KB4520003 Windows 7 SP1 un Windows Server 2008 R2 SP1 ir paredzēts tikai drošības atjauninājums

  • KB4520009 Windows Server 2008 SP2 tikai drošības atjauninājums

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.