Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Objawy

Próba nawiązywania połączenia w ramach protokółu TLS (Transport Layer Security) może kończyć się niepowodzeniem lub może nastąpić przekroczenie limitu czasu. Może również zostać wyświetlony co najmniej jeden z następujących błędów:

  • „The request was aborted: Could not create SSL/TLS secure Channel”

  • error 0x8009030f

  • Błąd zarejestrowany w dzienniku zdarzeń systemu dla zdarzenia SCHANNEL 36887 z kodem alertu 20 i opisem: „Odebrano alert krytyczny ze zdalnego punktu końcowego. Kod alertu krytycznego zdefiniowany przez protokół TLS to 20​”.

Przyczyna

Z powodu wymuszenia zabezpieczeń związanego z luką CVE-2019-1318 wszystkie aktualizacje obsługiwanych wersji systemu Windows wydane 8 października 2019 r. i nowsze wymuszają użycie rozszerzonego głównego klucza tajnego (EMS) podczas wznawiania połączenia zgodnie z definicją w dokumencie RFC 7627. Połączenia z urządzeniami innych firm i niezgodnymi systemami operacyjnymi mogą się nie powieść lub mogą w ich przypadku występować problemy.

Następne kroki

Problem nie powinien dotyczyć połączeń między dwoma w pełni zaktualizowanymi urządzeniami z którąkolwiek z obsługiwanych wersji systemu Windows. Ten problem nie wymaga aktualizacji systemu Windows. Te zmiany są wymagane w celu usunięcia problemu bezpieczeństwa i na potrzeby zapewnienia zgodności z zabezpieczeniami.

Wszystkie systemy operacyjne, urządzenia lub usługi innych firm, które nie obsługują wznawiania EMS, mogą wykazywać problemy z połączeniami TLS. Należy skontaktować się z administratorem, producentem lub dostawcą usług, aby uzyskać aktualizacje w pełni obsługujące wznawianie EMS zgodnie z definicją w dokumencie RFC 7627.

Uwaga Firma Microsoft nie zaleca wyłączania usług EMS. Jeśli usługi EMS zostały wcześniej jawnie wyłączone, można je ponownie włączyć, ustawiając następujące wartości kluczy rejestru:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Na serwerze TLS: DisableServerExtendedMasterSecret: 0 Na kliencie TLS: DisableClientExtendedMasterSecret: 0

Zaawansowane informacje dla administratorów

1. Nawiązanie połączenia przez urządzenie z systemem Windows w ramach protokołu TLS (Transport Layer Security) z urządzeniem nieobsługującym rozszerzonego głównego klucza tajnego (EMS), kiedy pakiety szyfrowania TLS_DHE_* są negocjowane, może sporadycznie się nie powieść (około 1 raz na 256 prób). Aby ograniczyć ten problem, zastosuj jedno z wymienionych rozwiązań w dowolnej kolejności:

  • Włącz obsługę rozszerzonego głównego klucza tajnego (EMS) podczas wykonywania połączeń TLS zarówno na kliencie, jak i w systemie operacyjnym serwera.

  • W przypadku systemów operacyjnych, które nie obsługują usług EMS, usuń pakiety szyfrowania TLS_DHE_* z listy pakietów szyfrowania w systemie operacyjnym urządzenia klienckiego TLS. Aby uzyskać instrukcje, jak to zrobić w systemie Windows, zobacz Ustawianie priorytetów mechanizmów szyfrowania Schannel.

2. Systemy operacyjne, które wysyłają komunikaty żądań certyfikatów jedynie w ramach operacji pełnego uzgadniania po wznowieniu, nie są zgodne ze standardem RFC 2246 (TLS 1.0) ani RFC 5246 (TLS 1.2). W ich przypadku każda próba nawiązania połączenia skończy się niepowodzeniem. Wznowienie nie jest gwarantowane przez standardy RFC, ale taka próba może zostać podjęta przez serwer i klienta TLS. Jeśli ten problem wystąpi, należy skontaktować się z producentem lub dostawcą usług w celu uzyskania aktualizacji zgodnych ze standardami RFC.3. Serwery FTP lub urządzenia klienckie niezgodne ze standardem RFC 2246 (TLS 1.0) i RFC 5246 (TLS 1.2) mogą nie przetransferować plików po wznowieniu lub skróconym uzgadnianiu, a każde z połączeń zakończy się niepowodzeniem. Jeśli ten problem wystąpi, należy skontaktować się z producentem lub dostawcą usług w celu uzyskania aktualizacji zgodnych ze standardami RFC.

Aktualizacje, których dotyczy problem

Ten problem może występować na platformach, których dotyczy problem, w każdej najnowszej aktualizacji zbiorczej (LCU) i miesięcznym pakiecie zbiorczym aktualizacji wydanych 8 października 2019 r. lub później:

  • KB4517389 — LCU dla systemu Windows 10, wersja 1903.

  • KB4519338 — LCU dla systemów Windows 10, wersja 1809 i Windows Server 2019.

  • KB4520008 — LCU dla systemu Windows 10, wersja 1803.

  • KB4520004 — LCU dla systemu Windows 10, wersja 1709.

  • KB4520010 — LCU dla systemu Windows 10, wersja 1703.

  • KB4519998 — LCU dla systemów Windows 10, wersja 1607 i Windows Server 2016.

  • KB4520011 — LCU dla systemu Windows 10, wersja 1507.

  • KB4520005 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows 8.1 i Windows Server 2012 R2.

  • KB4520007 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows Server 2012.

  • KB4519976 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.

  • KB4520002 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows Server 2008 z dodatkiem SP2.

Ten problem może występować w następującej aktualizacji samych zabezpieczeń wydanej 8 października 2019 r. na platformach, których dotyczy problem:

  • KB4519990 — aktualizacja samych zabezpieczeń dla systemów Windows 8.1 i Windows Server 2012 R2.

  • KB4519985 — aktualizacja samych zabezpieczeń dla systemów Windows Server 2012 i Windows Embedded 8 Standard.

  • KB4520003 — aktualizacja samych zabezpieczeń dla systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1

  • KB4520009 — aktualizacja samych zabezpieczeń dla systemów Windows Server 2008 z dodatkiem SP2

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders