Pazīmes
Mēģinot izveidot savienojumu, transporta slāņa drošība (Transport Layer Security - TLS) un drošligzdu slānis (Secure Sockets Layer - SSL) var neizdoties vai var notikt taimauts. Iespējams, saņemsit vienu vai vairākas no tālāk norādītajām kļūdām.
-
"Pieprasījums tika pārtraukts: nevarēja izveidot drošu SSL/TLS kanālu"
-
kļūda 0x8009030f
-
Sistēmas notikumu žurnālā reģistrēta kļūda, kas attiecas uz SCHANNEL notikumu 36887 ar brīdinājuma kodu 20 un aprakstu: "Fatāls brīdinājums tika saņemts no attālā galapunkta". TLS protokola noteikts fatāla brīdinājuma kods ir 20."
Iemesls
Ar drošību saistītas izpildes dēļ attiecībā uz CVE-2019-1318, visi atjauninājumi Windows atbalstītajām versijām, kuras izlaistas 2019. gada 8. oktobrī vai vēlāk, atjaunošanai izpilda paplašināto galveno noslēpumu (EMS), kā to definē RFC 7627. Savienojumos ar neatbilstošām trešās puses ierīcēm un operētājsistēmām var rasties problēmas vai kļūmes.
Nākamās darbības
Savienojumos starp divām ierīcēm, kurās darbojas jebkura atbalstītā Windows versija, nevajadzētu rasties šai problēmai, kad versija ir pilnībā atjaunināta. Šīs problēmas novēršanai nav nepieciešams atjaunināt operētājsistēmu Windows. Minētās izmaiņas ir nepieciešamas, lai risinātu drošības problēmu un drošības atbilstību.
Jebkurai trešās puses operētājsistēmai, ierīcei vai pakalpojumam, kas neatbalsta EMS atjaunošanu, var rasties problēmas saistībā ar TLS savienojumiem. Sazinieties ar savu administratoru, ražotāju vai pakalpojumu sniedzēju, lai saņemtu atjauninājumus, kas pilnībā atbalsta EMS atjaunošanu, kā to nosaka RFC 7627.
Piezīme Microsoft neiesaka atspējot EMS. Ja EMS iepriekš tika īpaši atspējots, to var atkārtoti iespējot, iestatot šādas reģistra atslēgas vērtības:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
TLS serverī: DisableServerExtendedMasterSecret: 0 TLS klientā: DisableClientExtendedMasterSecret: 0
Papildu informācija administratoriem
1. Windows ierīcē, kas mēģina veikt transporta slāņa drošības (Transport Layer Security — TLS) savienojumu ar ierīci, kura neatbalsta paplašināto galveno noslēpumu (EMS), kad tiek apspriesti TLS_DHE_ * šifra komplekti, var periodiski rasties kļūme aptuveni 1 no 256 mēģinājumiem. Lai mazinātu šo problēmu, ieviesiet kādu no tālāk norādītajiem risinājumiem, kas ir norādīti vēlamajā secībā:
-
Iespējot atbalstu paplašinātā galvenā noslēpuma (EMS) paplašinājumiem, veicot TLS savienojumus gan klienta, gan servera operētājsistēmā.
-
Operētājsistēmām, kas neatbalsta EMS, noņemiet TLS_DHE_ * šifra komplektus no šifra komplektu saraksta TLS klienta ierīces OS. Norādījumus par to, kā to izdarīt operētājsistēmā Windows, skatiet rakstu Noteikt prioritātes droškanāla šifra komplektiem.
RFC 2246 (TLS 1,0) vai RFC 5246 (TLS 1.2) atbilstīgas, un tas izraisīs visu savienojumu kļūmi. RFC negarantē atjaunošanu, bet to pēc saviem ieskatiem var izmantot TLS klients un serveris. Ja sastopaties ar šo problēmu, sazinieties ar ražotāju vai pakalpojumu sniedzēju, lai saņemtu atjauninājumus, kas atbilst RFC standartiem. 3. FTP serveriem vai klientiem, kas neatbilst RFC 2246 (TLS 1.0) un RFC 5246 (TLS 1.2), var neizdoties pārsūtīt failus atjaunošanā vai saīsinātā izaicinājumrokasspiedienā, un tie izraisa visu savienojumu kļūmi. Ja sastopaties ar šo problēmu, sazinieties ar ražotāju vai pakalpojumu sniedzēju, lai saņemtu atjauninājumus, kas atbilst RFC standartiem.
2. Operētājsistēmas, kas tikai sūta sertifikāta pieprasījuma ziņojumus pilnā izaicinājumrokasspiedienā pēc atsākšanas navIetekmētie atjauninājumi
Jebkādi jaunākie kumulatīvie atjauninājumi (LCU) vai ikmēneša apkopojumi atjauninājumi, kas paredzēti ietekmētajām platformām un izlaisti 2019. gada 8. oktobrī vai vēlāk, var saskarties ar tālāk norādīto problēmu.
-
KB4517389 LCU operētājsistēmas Windows 10 versijai 1903.
-
KB4519338 LCU operētājsistēmas Windows 10 versijai 1809 un Windows Server 2019.
-
KB4520008 LCU operētājsistēmas Windows 10 versijai 1803.
-
KB4520004 LCU operētājsistēmas Windows 10 versijai 1709.
-
KB4520010 LCU operētājsistēmas Windows 10 versijai 1703.
-
KB4519998 LCU operētājsistēmas Windows 10 versijai 1607 un Windows Server 2016.
-
KB4520011 LCU operētājsistēmas Windows 10 versijai 1507.
-
KB4520005 Windows 8.1 un Windows Server 2012 R2 ikmēneša apkopojums.
-
KB4520007 Windows Server 2012 ikmēneša apkopojums.
-
KB4519976 Windows 7 SP1 un Windows Server 2008 R2 SP1 ikmēneša apkopojums.
-
KB4520002 Windows Server 2008 SP2 ikmēneša apkopojums
Tālāk minētais tikai drošības atjauninājums, kas paredzēti ietekmētajām platformām un izlaists 2019. gada 8. oktobrī, var saskarties ar tālāk norādīto problēmu.
-
KB4519990 Windows 8.1 un Windows Server 2012 R2 paredzēts tikai drošības atjauninājums.
-
KB4519985 Windows Server 2012 un Windows Embedded 8 Standard tikai drošības atjauninājums.
-
KB4520003 Windows 7 SP1 un Windows Server 2008 R2 SP1 ir paredzēts tikai drošības atjauninājums
-
KB4520009 Windows Server 2008 SP2 tikai drošības atjauninājums