TLS-i tõrgete, ajalõppude lahendused Windowsi süsteemides

Oleme rääkinud TLS-i käepigistus, ja kuidas see võib ebaõnnestuda. Samuti märkisime, et palju TLS-i tõrkeid oli juhtunud seetõttu, et Microsoft proovis midagi parandada. Turvavärskendatud CVE-2019-1318 on põhjustanud viimase värskenduse TLS-i ja SSL-i jaoks. Selle tulemuseks on, et TLS-ühendused katkendlikult ebaõnnestuvad või võtavad kaua aega ning selle tulemuseks on ajalõpp. Selles postituses jagame TLS-i tõrgete ja ajalõppude lahendusi Windowsi süsteemides.

Selle jätkuva probleemi tõttu on levinud järgmised vead:

• Taotlus katkestati: SSL / TLS-i turvalist kanalit ei õnnestunud luua
• Viga 0x8009030f
• SCHANNEL-sündmuse 36887 süsteemi sündmuste logisse sisse logitud tõrge koos hoiatuskoodiga 20 ja kirjeldusega:. TLS-protokolli määratletud surmaga lõppenud häirekood on 20.?”

Milliseid Windowsi versioone TLS-i tõrked mõjutavad?

Haavatavus võib anda ründajale võimaluse teha mees-keskel-rünnak. Selle parandas värskendus ja selle tulemuseks olid Windowsi süsteemides TLS-i tõrked, ajalõpp.

Microsoft juhtis tähelepanu sellele, et see juhtub ainult siis, kui seadmed üritavad seadmetega luua TLS-ühendusi ilma laiendatud laienduse Master Master Secret toeta. Kui seadmetel on toetatud versioon, siis seda ei esine. Siit leiate praegu mõjutatud Windowsi versioonid:

1. Windows 10 versioon 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 hoolduspakett Service Pack 1
8. Windows Server 2008 R2 hoolduspakett Service Pack 1
9. Windows Server 2008 hoolduspakett Service Pack 2

Turvavärskendused mõjutavad Windowsi värskenduste loendit

Kõigi viimaste kumulatiivsete värskenduste (LCU) või igakuiste koondpakettide puhul, mis on avaldatud 8. oktoobril 2019 või hiljem mõjutatud platvormidele, võib ilmneda see probleem:

1. KB4517389 LCU Windows 10-le, versioon 1903.
2. KB4519338 LCU Windows 10-le, versioon 1809 ja Windows Server 2019.
3. KB4520008 LCU Windows 10-le, versioon 1803.
4. KB4520004 LCU Windows 10-le, versioon 1709.
5. KB4520010 LCU Windows 10-le, versioon 1703.
6. KB4519998 LCU Windows 10-le, versioon 1607 ja Windows Server 2016.
7. KB4520011 LCU Windows 10-le, versioon 1507.
8. KB4520005 igakuine koondpakett Windows 8 jaoks.1 ja Windows Server 2012 R2.
9. KB4520007 igakuine koondpakett Windows Server 2012 jaoks.
10. KB4519976 igakuine koondpakett Windows 7 hoolduspaketile SP1 ja Windows Server 2008 R2 hoolduspaketile SP1.
11. KB4520002 igakuine koondpakett Windows Server 2008 hoolduspaketile SP2
12. KB4519990 Ainult turbevärskendus Windows 8 jaoks.1 ja Windows Server 2012 R2.
13. KB4519985 Ainult Windows Server 2012 ja Windows Embedded 8 Standardi turbevärskendus.
14. Ainult Windows 7 hoolduspaketi SP1 ja Windows Server 2008 R2 hoolduspaketi SP1 turvavärskendus KB4520003
15. Ainult Windows Server 2008 hoolduspaketi SP2 värskendus KB4520009

Lahendused TLS-i tõrgete, ajalõpu Windowsis

Microsofti sõnul on TLS-i tõrgete ja ajalõppude parandamiseks kolm võimalust.

1. Luba EMS nii kliendis kui ka serveris
2. Eemaldage TLS_DHE_ * šifri komplektid
3. EMS-i lubamine / keelamine operatsioonisüsteemis Windows 10 / Windows Server

Pange tähele, et lahendustel on puudusi, eriti turvalisuse seisukohast.

1] Luba EMS nii kliendis kui ka serveris

Kuna teame, et kui mõlemal poolel on EMS installitud, siis seda probleemi ei esine, seega on lahendus ilmne.  Kuigi EMS on vaikimisi lubatud mis tahes versiooni jaoks pärast 8. oktoobrit 2019, kui ei, siis veenduge Lubage laienduse laienduse tugisaladuse tugi.

Kui olete IT-administraator, toetage kindlasti EMS-i jätkamist, nagu on määratletud RFC 7627-s.

2] Eemaldage TLS_DHE_ * šifrikomplektid

Kui operatsioonisüsteem ei toeta EMS-i, peab IT-administraator TLS_DHE_ * šifrikomplektid eemaldama TLS-i kliendiseadme operatsioonisüsteemi šifripakettide loendist. Schannel Cipher Suites prioriteetseks muutmiseks on saadaval täielik dokumentatsioon.

See tähendab, et need on ajutised lahendused ja nende keelamine tähendab ainult seda, et kutsute rünnaku keskel meest

3] Luba / keela EMS operatsioonisüsteemis Windows 10 / Windows Server

Kui olete mõne TLS-i probleemi jaoks oma arvuti EMS-i keelanud, kasutage selle lubamiseks nii serveri kui ka kliendi registrisätteid.

• Avage registriredaktor
• Navigeerige saidile HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • TLS-serveris: DisableServerExtendedMasterSecret: 0
  • TLS-i kliendis: DisableClientExtendedMasterSecret: 0

Kui need pole saadaval, saate need luua.

Loodan, et need lahendused olid kasulikud TLS-iga ajutiselt tekkinud probleemi lahendamiseks. Hoidke silma peal värskendustel, mis selle probleemi lahendamiseks välja antakse