Обходные пути для сбоев TLS и тайм-аутов в системах Windows

Мы говорили о Рукопожатие TLS, и как это может потерпеть неудачу. Мы также отметили, что много сбоев TLS произошло из-за того, что Microsoft пыталась что-то исправить. Обновление безопасности CVE-2019-1318 привело к недавнему откату для TLS и SSL. Это привело к тому, что TLS-соединения периодически выходили из строя или занимали много времени, что приводило к тайм-ауту. В этом посте мы поделимся обходными путями для сбоев и тайм-аутов TLS в системах Windows.

Следующие ошибки являются распространенными из-за этой продолжающейся проблемы:

• Запрос был прерван: не удалось создать безопасный канал SSL / TLS
• Ошибка 0x8009030f
• Ошибка, зарегистрированная в журнале системных событий для события SCHANNEL 36887 с кодом предупреждения 20 и описанием: «От удаленной конечной точки получено критическое предупреждение. Код фатального предупреждения протоколом TLS - 20.?”

Какие версии Windows подвержены сбоям TLS?

Уязвимость может дать злоумышленнику шанс провести атаку типа "злоумышленник посередине". Это было исправлено обновлением, и это приводило к сбоям TLS, тайм-аутам в системах Windows.

Microsoft отметила, что это происходит только тогда, когда устройства пытаются установить TLS-подключения к устройствам без поддержки расширения Extended Master Secret. Если на устройствах есть поддерживаемая версия, то этого не происходит. Вот версии Windows, затронутые на данный момент:

1. Версия Windows 10 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Пакет обновления 1 для Windows 7
8. Пакет обновления 1 для Windows Server 2008 R2
9. Пакет обновления 2 для Windows Server 2008

Список обновлений Windows затронут из-за обновления безопасности

Любое последнее накопительное обновление (LCU) или ежемесячные накопительные пакеты, выпущенное 8 октября 2019 г. или позже для затронутых платформ, может столкнуться с этой проблемой:

1. KB4517389 LCU для Windows 10, версия 1903.
2. KB4519338 LCU для Windows 10 версии 1809 и Windows Server 2019.
3. KB4520008 LCU для Windows 10, версия 1803.
4. KB4520004 LCU для Windows 10, версия 1709.
5. KB4520010 LCU для Windows 10, версия 1703.
6. KB4519998 LCU для Windows 10 версии 1607 и Windows Server 2016.
7. KB4520011 LCU для Windows 10, версия 1507.
8. KB4520005 Ежемесячный накопительный пакет обновлений для Windows 8.1 и Windows Server 2012 R2.
9. KB4520007 Ежемесячный накопительный пакет обновлений для Windows Server 2012.
10. KB4519976 Ежемесячный накопительный пакет обновлений для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
11. KB4520002 Ежемесячный накопительный пакет обновлений для Windows Server 2008 SP2
12. KB4519990 Обновление только для системы безопасности Windows 8.1 и Windows Server 2012 R2.
13. KB4519985 Обновление только для системы безопасности для Windows Server 2012 и Windows Embedded 8 Standard.
14. KB4520003 Обновление только для системы безопасности Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
15. KB4520009 Обновление только для системы безопасности для Windows Server 2008 SP2

Обходные пути для сбоев TLS и тайм-аутов в Windows

По словам Microsoft, есть три способа исправить сбои и тайм-ауты TLS.

1. Включите EMS как на клиенте, так и на сервере
2. Удалить комплекты шифров TLS_DHE_ *
3. Включение / отключение EMS в Windows 10 / Windows Server

Имейте в виду, что у обходных путей есть недостатки, особенно с точки зрения безопасности.

1] Включите EMS как на клиенте, так и на сервере

Как мы знаем, если на обеих сторонах установлен EMS, проблема не возникает, поэтому решение очевидно.  Хотя EMS включен по умолчанию для всех выпусков после 8 октября 2019 г., в противном случае убедитесь, что Включить поддержку расширения Extend Master Secret (EMS).

Если вы ИТ-администратор, убедитесь, что полностью поддерживаете возобновление EMS, как определено в RFC 7627.

2] Удалить комплекты шифров TLS_DHE_ *

Если операционная система не поддерживает EMS, ИТ-администратор должен удалить комплекты шифров TLS_DHE_ * из списка комплектов шифров в ОС клиентского устройства TLS. Доступна полная документация по приоритизации Schannel Cipher Suite.

Тем не менее, это временное исправление, и их отключение означает только то, что вы приглашаете атаку типа "человек посередине"

3] Включение / отключение EMS в Windows 10 / Windows Server

Если из-за какой-либо проблемы с TLS вы отключили EMS на своем компьютере, используйте параметры реестра как на сервере, так и на клиенте, чтобы включить его.

• Открыть редактор реестра
• Перейдите в HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • На сервере TLS: DisableServerExtendedMasterSecret: 0
  • На клиенте TLS: DisableClientExtendedMasterSecret: 0

Если они недоступны, вы можете их создать.

Я надеюсь, что эти обходные пути были полезны для временного решения проблемы, с которой вы столкнулись с TLS. Следите за обновлениями, которые будут выпущены для решения этой проблемы