Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Belirtiler

Bağlanmaya çalışırken Aktarım Katmanı Güvenliği (TLS) başarısız olabilir veya zaman aşımına uğrayabilir. Ayrıca aşağıdaki hatalardan birini veya birkaçını da alabilirsiniz:

  • "İstek durduruldu: SSL/TLS güvenli Kanalı oluşturulamadı"

  • hata 0x8009030f

  • Uyarı kodu 20 ve açıklamayla SCHANNEL olayı 36887 için Sistem Olay Günlüğü'ne kaydedilen bir hata: "Uzak bitiş noktasından önemli uyarı alındı. TLS protokolü tanımlı önemli uyarı kodu: 20.​"

Neden

CVE-2019-1318 için güvenlikle ilgili uygulama nedeniyle 8 Ekim 2019 veya sonrasında desteklenen Windows sürümlerine yönelik yayımlanan tüm güncelleştirmeler, RFC 7627 tarafından tanımlandığı şekilde sürdürebilmek için Genişletilmiş Ana Gizli Anahtar'ı (EMS) uygular. Uyumsuz olan üçüncü taraf cihazlara ve işletim sistemlerine bağlantılar, sorun yaşayabilir veya başarısız olabilir.

Sonraki Adımlar

Windows'un desteklenen bir sürümünü çalıştıran iki cihaz arasındaki bağlantılarda, cihazlar tamamen güncelleştirildiğinde bu sorunun olmaması gerekir. Bu soruna yönelik olarak Windows için güncelleştirme gerekli değildir. Bu değişiklikler, bir güvenlik sorununu gidermek ve güvenlik uyumluluğu için gereklidir.

EMS'nin sürdürmesini desteklemeyen üçüncü taraf işletim sistemleri, cihazlar veya hizmetlerde TLS bağlantılarıyla ilgili sorunlar görülebilir. RFC 7627 tarafından tanımlandığı şekilde EMS'nin sürdürmesini tamamen destekleyen güncelleştirmeler için yöneticinize, üreticinize veya hizmet sağlayıcınıza başvurmanız gerekir.

Not Microsoft, EMS'nin devre dışı bırakılmasını önermez. EMS önceden açıkça devre dışı bırakıldıysa aşağıdaki kayıt defteri anahtarı değerlerini ayarlayarak yeniden etkinleştirilebilir:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

TLS Sunucusu'nda: DisableServerExtendedMasterSecret: 0 TLS İstemcisi'nde: DisableClientExtendedMasterSecret: 0

Yöneticiler için ileri düzeyde bilgiler

1. TLS_DHE_* şifre paketleri üzerinde anlaşıldığında Genişletilmiş Ana Gizli Anahtar'ı (EMS) desteklemeyen bir cihaza Aktarım Katmanı Güvenliği (TLS) bağlantısı yapmaya çalışan bir Windows cihazı zaman zaman yaklaşık olarak 256'da 1 denemede başarısız olabilir. Bu sorunun etkisini azaltmak için aşağıda tercih sırasına göre listelenen çözümlerden birini uygulayın:

  • TLS bağlantılarını istemci ve sunucu işletim sisteminde gerçekleştirirken Genişletilmiş Ana Gizli Anahtar (EMS) uzantıları için desteği etkinleştirin.

  • EMS'yi desteklemeyen işletim sistemleri için TLS istemci cihazının işletim sistemindeki şifre paketi listesinden TLS_DHE_* şifre paketlerini kaldırın. Windows'ta bunun nasıl yapılacağı hakkında yönergeler için bkz. Schannel Şifre Paketlerinin Önceliklerini Belirleme.

2. Sürdürmeyi takiben tam el sıkışmasında yalnızca sertifika isteği iletileri gönderen işletim sistemleri, RFC 2246 (TLS 1.0) veya RFC 5246 (TLS 1.2) uyumlu değildir ve her bağlantının başarısız olmasına neden olur. Sürdürme, RFC'ler tarafından garanti edilmez ancak TLS istemcisi ve sunucusunun takdiriyle kullanılabilir. Bu sorunla karşılaşırsanız RFC standartlarına uyan güncelleştirmeler için üreticiye veya hizmet sağlayıcısına başvurmanız gerekir.3. RFC 2246 (TLS 1.0) ve RFC 5246 (TLS 1.2) ile uyumlu olmayan FTP sunucuları ya da istemcileri, sürdürmede veya kısaltılmış el sıkışmasında dosyaları aktarmada başarısız olabilir ve her bağlantının başarısız olmasına neden olur. Bu sorunla karşılaşırsanız RFC standartlarına uyan güncelleştirmeler için üreticiye veya hizmet sağlayıcısına başvurmanız gerekir.

Etkilenen Güncelleştirmeler

Etkilenen platformlar için 8 Ekim 2019'da veya sonrasında yayımlanan tüm en son toplu güncelleştirmeler (LCU) veya Aylık Güncelleştirme Paketleri'nde bu sorun yaşanabilir:

  • Windows 10, sürüm 1903 için KB4517389 LCU.

  • Windows 10, sürüm 1809 ve Windows Server 2019 için KB4519338 LCU.

  • Windows 10, sürüm 1803 için KB4520008 LCU.

  • Windows 10, sürüm 1709 için KB4520004 LCU.

  • Windows 10, sürüm 1703 için KB4520010 LCU.

  • Windows 10, sürüm 1607 ve Windows Server 2016 için KB4519998 LCU.

  • Windows 10, sürüm 1507 için KB4520011 LCU.

  • KB4520005 Windows 8.1 ve Windows Server 2012 R2 için Aylık Güncelleştirme Paketi.

  • KB4520007 Windows Server 2012 için Aylık Güncelleştirme Paketi.

  • KB4519976 Windows 7 SP1 ve Windows Server 2008 R2 SP1 için Aylık Güncelleştirme Paketi.

  • KB4520002 Windows Server 2008 SP2 için Aylık Güncelleştirme Paketi

8 Ekim 2019'da yayımlanan aşağıdaki Yalnızca Güvenlik Güncelleştirmesi'nde şu sorun yaşanabilir:

  • KB4519990 Windows 8.1 ve Windows Server 2012 R2 için yalnızca güvenlik güncelleştirmesi.

  • KB4519985 Windows Server 2012 ve Windows Embedded 8 Standard için yalnızca güvenlik güncelleştirmesi.

  • KB4520003 Windows 7 SP1 ve Windows Server 2008 R2 SP1 için yalnızca güvenlik güncelleştirmesi

  • KB4520009 Windows Server 2008 SP2 için yalnızca güvenlik güncelleştirmesi

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.