Zaobilazna rješenja za neuspjehe TLS-a, vremenska ograničenja u sustavima Windows

Razgovarali smo o TLS rukovanje, i kako može propasti. Također smo označili da se dogodilo mnogo kvarova TLS-a jer je Microsoft pokušao nešto popraviti. Sigurnosno ažurirani CVE-2019-1318 prouzročio je nedavni uvedeni za TLS i SSL. To je rezultiralo time da TLS veze povremeno propadaju ili traju dugo, što rezultira timeoutom. U ovom ćemo postu podijeliti zaobilazna rješenja za TLS kvarove i vremenska ograničenja u sustavima Windows.

Sljedeće su pogreške česte zbog ovog tekućeg problema:

• Zahtjev je prekinut: Nije moguće stvoriti SSL / TLS zaštićeni kanal
• Pogreška 0x8009030f
• Pogreška zabilježena u Dnevnik događaja sustava za SCHANNEL događaj 36887 s kodom upozorenja 20 i opisom „Primljena je fatalna uzbuna s udaljene krajnje točke. Kod smrtonosne uzbune definiran protokolom TLS je 20.?"

Na koje verzije sustava Windows utječu TLS neuspjesi?

Ranjivost može napadaču pružiti priliku da izvede napad čovjek u sredini. Ažuriranje je to popravilo i rezultiralo je TLS neuspjesima, vremenskim ograničenjima u sustavima Windows.

Microsoft je istaknuo da se to događa samo kada uređaji pokušavaju uspostaviti TLS veze s uređajima bez podrške za proširenje Extended Master Secret. Ako uređaji imaju podržanu verziju, tada se to ne događa. Evo sada pogođenih verzija sustava Windows:

1. Verzija Windows 10 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 servisni paket 1
8. Windows Server 2008 R2 servisni paket 1
9. Windows Server 2008 servisni paket 2

Na popis ažuriranja sustava Windows utječe sigurnosno ažuriranje

Svako najnovije kumulativno ažuriranje (LCU) ili Mjesečni skupni ulozi objavljeni 8. listopada 2019. ili kasnije za pogođene platforme mogu imati ovaj problem:

1. KB4517389 LCU za Windows 10, verzija 1903.
2. KB4519338 LCU za Windows 10, inačica 1809 i Windows Server 2019.
3. KB4520008 LCU za Windows 10, verzija 1803.
4. KB4520004 LCU za Windows 10, verzija 1709.
5. KB4520010 LCU za Windows 10, verzija 1703.
6. KB4519998 LCU za Windows 10, inačica 1607 i Windows Server 2016.
7. KB4520011 LCU za Windows 10, verzija 1507.
8. KB4520005 Mjesečni skupni skup za Windows 8.1 i Windows Server 2012 R2.
9. KB4520007 Mjesečni skupni skup za Windows Server 2012.
10. KB4519976 Mjesečni skupni paket za Windows 7 SP1 i Windows Server 2008 R2 SP1.
11. KB4520002 Mjesečni skupni paket za Windows Server 2008 SP2
12. KB4519990 Samo sigurnosno ažuriranje za Windows 8.1 i Windows Server 2012 R2.
13. KB4519985 Samo sigurnosno ažuriranje za Windows Server 2012 i Windows Embedded 8 Standard.
14. KB4520003 Samo sigurnosno ažuriranje za Windows 7 SP1 i Windows Server 2008 R2 SP1
15. KB4520009 Samo sigurnosno ažuriranje za Windows Server 2008 SP2

Zaobilazna rješenja za neuspjehe TLS-a, vremenska ograničenja u sustavu Windows

Prema Microsoftu, postoje tri načina za popravljanje TLS kvarova i vremenskih ograničenja.

1. Omogućite EMS i na klijentu i na poslužitelju
2. Uklonite TLS_DHE_ * pakete šifri
3. Omogućite / onemogućite EMS na sustavu Windows 10 / Windows Server

Imajte na umu da postoje zaobilazna rješenja, posebno iz sigurnosne perspektive.

1] Omogućite EMS i na klijentu i na poslužitelju

Kao što znamo da ako obje strane imaju instaliran EMS, tada se problem ne pojavljuje, pa je rješenje očito.  Iako je EMS omogućen prema zadanim postavkama za bilo koje izdanje nakon 8. listopada 2019., ako ne, svakako Omogućite podršku za proširenje Extender Master Secret (EMS).

Ako ste IT administrator, pobrinite se da u potpunosti podržavate nastavak EMS-a kako je definirano u RFC 7627.

2] Uklonite TLS_DHE_ * pakete šifri

Ako operativni sustav ne podržava EMS, tada IT administrator treba ukloniti pakete šifri TLS_DHE_ * sa popisa šifre u OS-u klijentskog uređaja TLS. Dostupna je kompletna dokumentacija za davanje prioriteta Schannel Cipher Suites.

To je privremeno rješenje, a njihovo onemogućavanje znači samo da pozivate napad čovjek-u-sredini

3] Omogućite / onemogućite EMS na sustavu Windows 10 / Windows Server

Ako ste za bilo koji problem s TLS-om onemogućili EMS na računalu, tada upotrijebite postavke registra i na poslužitelju i na klijentu da biste ga omogućili.

• Otvorite uređivač registra
• Dođite do HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • Na TLS poslužitelju: DisableServerExtendedMasterSecret: 0
  • Na TLS klijentu: DisableClientExtendedMasterSecret: 0

Ako nisu dostupni, možete ih stvoriti.

Nadam se da su ova zaobilazna rješenja bila korisna za privremeno rješavanje problema s kojim ste suočeni s TLS-om. Pripazite na ažuriranja koja će se pojaviti kako bi riješila ovaj problem