Løsninger for TLS-fejl og timeouts på Windows-systemer

Workarounds Tls Failures



Liste over løsninger til TLS-fejl og timeouts på Windows-systemer. Dette sker på grund af securti-opdateringsimplementering, ingen EMS på klient eller server.

Hvis du har problemer med TLS-fejl og timeouts på dit Windows-system, er der et par ting, du kan gøre for at omgå problemet. Prøv først at øge TLS-timeoutværdien i dit register. For at gøre dette skal du åbne registreringseditoren (regedit.exe) og gå til følgende nøgle: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Opret derefter en ny DWORD-værdi kaldet 'EnableTls11' og indstil den til 1. Hvis det ikke virker, kan du prøve at deaktivere TLS 1.0. For at gøre dette skal du åbne registreringseditoren og gå til følgende nøgle: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Opret derefter en ny DWORD-værdi for hver af følgende protokoller og indstil dem til 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Til sidst, hvis alt andet fejler, kan du prøve at geninstallere dine netværksadapterdrivere. Dette er normalt en sidste udvej, men det kan nogle gange løse problemer med TLS. Hvis du har problemer med TLS-fejl og timeouts på dit Windows-system, er der et par ting, du kan gøre for at omgå problemet. Prøv først at øge TLS-timeoutværdien i dit register. For at gøre dette skal du åbne registreringseditoren (regedit.exe) og gå til følgende nøgle: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Opret derefter en ny DWORD-værdi kaldet 'EnableTls11' og indstil den til 1. Hvis det ikke virker, kan du prøve at deaktivere TLS 1.0. For at gøre dette skal du åbne registreringseditoren og gå til følgende nøgle: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Opret derefter en ny DWORD-værdi for hver af følgende protokoller og indstil dem til 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Til sidst, hvis alt andet fejler, kan du prøve at geninstallere dine netværksadapterdrivere. Dette er normalt en sidste udvej, men det kan nogle gange løse problemer med TLS.



Vi talte om Håndtryk TLS , og hvordan det kan fejle. Vi bemærkede også, at mange TLS-fejl skyldtes, at Microsoft forsøgte at rette ting. Sikkerhedsopdatering CVE-2019-1318 resulterede i en nylig tilbagerulning af TLS og SSL. Dette fik TLS-forbindelser til periodisk at mislykkes eller tage lang tid, hvilket resulterede i en timeout. I dette indlæg vil vi dele løsninger på TLS-fejl og timeouts på Windows-systemer.







Løsning for TLS-fejl





Følgende fejl er almindelige på grund af dette igangværende problem:



slet fil powershell
  • Anmodning blev afbrudt: Kunne ikke oprette SSL/TLS sikker kanal.
  • Fejl 0x8009030f
  • Der blev logget en fejl i systemets hændelseslog for hændelse SCHANNEL 36887 med advarselskode 20 og beskrivelse: 'En kritisk advarsel blev modtaget fra det eksterne slutpunkt. Fatal advarselskode ved TLS-protokol - 20.? '

Hvilke versioner af Windows er tilbøjelige til TLS-fejl?

Sårbarheden kan give en angriber en chance for at iværksætte et mand-i-midten-angreb. Dette blev rettet ved en opdatering, og det resulterede i TLS-fejl og timeouts på Windows-systemer.

Microsoft bemærkede, at dette kun sker, når enheder forsøger at etablere TLS-forbindelser til enheder, der ikke understøtter Extended Master Secret-udvidelsen. Hvis enheder har en understøttet version, sker dette ikke. Her er de Windows-versioner, der i øjeblikket er berørt:

  1. Windows 10 version 1607
  2. Windows Server 2016
  3. Windows 10
  4. Windows 8.1
  5. Windows Server 2012 R2
  6. Windows Server 2012
  7. Service Pack 1 til Windows 7
  8. Service Pack 1 til Windows Server 2008 R2
  9. Service Pack 2 til Windows Server 2008

Windows-opdateringsliste påvirket på grund af sikkerhedsopdatering

Enhver seneste kumulative opdatering (LCU) eller månedlige oprulninger udgivet den 8. oktober 2019 eller senere for berørte platforme kan opleve dette problem:



regdiff
  1. KB4517389 LCU til Windows 10 version 1903.
  2. KB4519338 LCU til Windows 10 version 1809 og Windows Server 2019.
  3. KB4520008 LCU til Windows 10 version 1803.
  4. KB4520004 LCU til Windows 10 version 1709.
  5. KB4520010 LCU til Windows 10 version 1703.
  6. KB4519998 LCU til Windows 10 version 1607 og Windows Server 2016.
  7. KB4520011 LCU til Windows 10 version 1507.
  8. KB4520005 Månedlig opdateringspakke til Windows 8.1 og Windows Server 2012 R2.
  9. KB4520007 Månedlig opdateringspakke til Windows Server 2012.
  10. KB4519976 Månedlig opdateringspakke til Windows 7 SP1 og Windows Server 2008 R2 SP1.
  11. KB4520002 Månedlig opdateringspakke til Windows Server 2008 SP2
  12. KB4519990 Sikkerhedsopdatering til Windows 8.1 og Windows Server 2012 R2.
  13. KB4519985 Sikkerhedsopdatering kun til Windows Server 2012 og Windows Embedded 8 Standard.
  14. KB4520003 Sikkerhedsopdatering til Windows 7 SP1 og Windows Server 2008 R2 SP1
  15. KB4520009 Sikkerhedsopdatering til Windows Server 2008 SP2

Løsninger til TLS-fejl og timeouts på Windows

Ifølge Microsoft, der tre måder for at rette TLS-nedbrud og timeouts.

  1. Aktiver EMS på både klient og server
  2. Slet TLS_DHE_* cipher suites
  3. Aktiver/deaktiver EMS i Windows 10/Windows Server

Husk, at løsninger har ulemper, især med hensyn til sikkerhed.

chkdsk kører hver boot

1] Aktiver EMS på både klient og server

Som vi ved, hvis EMS er installeret på begge sider, så er der ikke noget problem, så løsningen er oplagt. Selvom EMS er aktiveret som standard for alle udgivelser efter 8. oktober 2019, skal du ellers sikre det Aktiver understøttelse af EMS-udvidelsen (Extend Master Secret).

Hvis du er IT-administrator, skal du sørge for, at du understøtter EMS-fornyelse som defineret RFC 7627 fuldt ud.

2] Fjern TLS_DHE_* cipher suites

Hvis operativsystemet ikke understøtter EMS, skal it-administratoren fjerne TLS_DHE_*-krypteringspakkerne fra listen over krypteringspakker på OS på TLS-klientenheden. Fuldstændig dokumentation for Priority Channel Cipher Suites ledig.

Dette er dog en midlertidig rettelse, og at deaktivere dem betyder kun, at du inviterer til et mand-i-midten-angreb.

3] Aktiver/deaktiver EMS i Windows 10/Windows Server

Hvis du på grund af et eller andet problem med TLS har deaktiveret EMS på din computer, skal du bruge indstillingerne i registreringsdatabasen på både serveren og klienten til at aktivere det.

  • åben Registreringseditor
  • Gå til HKLM System CurrentControlSet Control SecurityProviders Channel
    • Til TLS-servere: DisableServerExtendedMasterSecret: 0
    • På TLS-klient: DisableClientExtendedMasterSecret: 0

Hvis de ikke er tilgængelige, kan du oprette dem.

Download PC Repair Tool for hurtigt at finde og automatisk rette Windows-fejl

Jeg håber, at disse løsninger har været nyttige til midlertidigt at løse det problem, du oplever med TLS. Hold øje med opdateringer, der vil blive frigivet for at løse dette problem.

tilføje en trendlinje i Excel
Populære Indlæg