الحلول البديلة لفشل TLS وانتهاء المهلات على أنظمة Windows

إذا كنت تواجه مشكلة مع فشل TLS وانتهاء المهلات على نظام Windows الخاص بك ، فهناك بعض الأشياء التي يمكنك القيام بها للتغلب على المشكلة. أولاً ، حاول زيادة قيمة مهلة TLS في السجل الخاص بك. للقيام بذلك ، افتح محرر التسجيل (regedit.exe) وانتقل إلى المفتاح التالي: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services HTTP معلمات بعد ذلك ، قم بإنشاء قيمة DWORD جديدة تسمى EnableTls11 وقم بتعيينها على 1. إذا لم يفلح ذلك ، يمكنك محاولة تعطيل TLS 1.0. للقيام بذلك ، افتح محرر التسجيل وانتقل إلى المفتاح التالي: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Protocols بعد ذلك ، قم بإنشاء قيمة DWORD جديدة لكل من البروتوكولات التالية وقم بتعيينها على 0: معاهدة التعاون بشأن البراءات 1.0 SSL 2.0 SSL 3.0 TLS 1.0 أخيرًا ، إذا فشل كل شيء آخر ، يمكنك محاولة إعادة تثبيت برامج تشغيل محول الشبكة. عادةً ما يكون هذا هو الملاذ الأخير ، ولكن يمكنه أحيانًا إصلاح مشكلات TLS. إذا كنت تواجه مشكلة مع فشل TLS وانتهاء المهلات على نظام Windows الخاص بك ، فهناك بعض الأشياء التي يمكنك القيام بها للتغلب على المشكلة. أولاً ، حاول زيادة قيمة مهلة TLS في السجل الخاص بك. للقيام بذلك ، افتح محرر التسجيل (regedit.exe) وانتقل إلى المفتاح التالي: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services HTTP معلمات بعد ذلك ، قم بإنشاء قيمة DWORD جديدة تسمى EnableTls11 وقم بتعيينها على 1. إذا لم يفلح ذلك ، يمكنك محاولة تعطيل TLS 1.0. للقيام بذلك ، افتح محرر التسجيل وانتقل إلى المفتاح التالي: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Protocols بعد ذلك ، قم بإنشاء قيمة DWORD جديدة لكل من البروتوكولات التالية وقم بتعيينها على 0: معاهدة التعاون بشأن البراءات 1.0 SSL 2.0 SSL 3.0 TLS 1.0 أخيرًا ، إذا فشل كل شيء آخر ، يمكنك محاولة إعادة تثبيت برامج تشغيل محول الشبكة. عادةً ما يكون هذا هو الملاذ الأخير ، ولكن يمكنه أحيانًا إصلاح مشكلات TLS.

كنا نتحدث عن مصافحة TLS ، وكيف يمكن أن تفشل. لاحظنا أيضًا أن الكثير من حالات فشل TLS كانت بسبب محاولة Microsoft إصلاح الأشياء. أدى التحديث الأمني ​​CVE-2019-1318 إلى تراجع مؤخرًا عن TLS و SSL. تسبب هذا في فشل اتصالات TLS بشكل متقطع أو استغرقت وقتًا طويلاً مما أدى إلى انتهاء المهلة. في هذا المنشور ، سنشارك الحلول لفشل TLS وانتهاء المهلات على أنظمة Windows.

الأخطاء التالية شائعة بسبب هذه المشكلة المستمرة:

• تم إحباط الطلب: فشل إنشاء قناة SSL / TLS آمنة.
• خطأ 0x8009030f
• تم تسجيل خطأ في سجل أحداث النظام للحدث SCHANNEL 36887 مع رمز التحذير 20 والوصف: 'تم تلقي تحذير هام من نقطة النهاية البعيدة. رمز تحذير فادح بواسطة بروتوكول TLS - 20.؟ '

ما هي إصدارات Windows المعرضة لفشل TLS؟

قد تمنح الثغرة الأمنية المهاجم فرصة لشن هجوم man-in-the-middle. تم إصلاح هذا من خلال تحديث ونتج عنه فشل TLS وانتهاء المهلات على أنظمة Windows.

لاحظت Microsoft أن هذا يحدث فقط عندما تحاول الأجهزة إنشاء اتصالات TLS بالأجهزة التي لا تدعم ملحق Extended Master Secret. إذا كانت الأجهزة تحتوي على إصدار مدعوم ، فلن يحدث هذا. فيما يلي إصدارات Windows المتأثرة حاليًا:

e101 xbox one

1. الإصدار 1607 من Windows 10
2. ويندوز سيرفر 2016
3. نظام التشغيل Windows 10
4. نظام التشغيل Windows 8.1
5. نظام التشغيل Windows Server 2012 R2
6. نظام التشغيل Windows Server 2012
7. Service Pack 1 لنظام التشغيل Windows 7
8. حزمة الخدمة 1 لنظام التشغيل Windows Server 2008 R2
9. Service Pack 2 لنظام التشغيل Windows Server 2008

تأثرت قائمة تحديثات Windows بسبب التحديث الأمني

قد يواجه أي تحديث تراكمي آخر (LCU) أو مجموعات التحديثات الشهرية التي تم إصدارها في 8 أكتوبر 2019 أو بعده للأنظمة الأساسية المتأثرة هذه المشكلة:

1. KB4517389 LCU لنظام التشغيل Windows 10 الإصدار 1903.
2. KB4519338 LCU لنظام التشغيل Windows 10 الإصدار 1809 و Windows Server 2019.
3. KB4520008 LCU لنظام التشغيل Windows 10 الإصدار 1803.
4. KB4520004 LCU لنظام التشغيل Windows 10 الإصدار 1709.
5. KB4520010 LCU لنظام التشغيل Windows 10 الإصدار 1703.
6. KB4519998 LCU لنظام التشغيل Windows 10 الإصدار 1607 و Windows Server 2016.
7. KB4520011 LCU لنظام التشغيل Windows 10 الإصدار 1507.
8. KB4520005 مجموعة التحديثات الشهرية لنظامي التشغيل Windows 8.1 و Windows Server 2012 R2.
9. KB4520007 مجموعة التحديثات الشهرية لنظام Windows Server 2012.
10. KB4519976 مجموعة التحديثات الشهرية لنظامي التشغيل Windows 7 SP1 و Windows Server 2008 R2 SP1.
11. KB4520002 مجموعة التحديثات الشهرية لنظام التشغيل Windows Server 2008 SP2
12. KB4519990 تحديث أمني فقط لكل من Windows 8.1 و Windows Server 2012 R2.
13. KB4519985 تحديث أمني لنظامي التشغيل Windows Server 2012 و Windows Embedded 8 Standard فقط.
14. KB4520003 تحديث أمني فقط لنظامي التشغيل Windows 7 SP1 و Windows Server 2008 R2 SP1
15. KB4520009 تحديث أمني فقط لنظام التشغيل Windows Server 2008 SP2

حلول لإخفاقات TLS وانتهاء المهلات على Windows

وفقا لمايكروسوفت ، هناك ثلاث طرق لإصلاح أعطال TLS والمهلة.

1. تفعيل EMS على كل من العميل والخادم
2. احذف مجموعات التشفير TLS_DHE_ *
3. تمكين / تعطيل EMS في Windows 10 / Windows Server

ضع في اعتبارك أن الحلول لها عيوب ، خاصة فيما يتعلق بالأمان.

مراقبة تغييرات التسجيل

1] تمكين EMS على كل من العميل والخادم

كما نعلم ، إذا تم تثبيت EMS على كلا الجانبين ، فلا توجد مشكلة ، وبالتالي فإن الحل واضح. على الرغم من تمكين EMS افتراضيًا لجميع الإصدارات بعد 8 أكتوبر 2019 ، تأكد من ذلك قم بتمكين الدعم الخاص بامتداد Extend Master Secret (EMS).

إذا كنت مسؤول تكنولوجيا المعلومات ، فيرجى التأكد من دعمك لتجديد EMS كما هو محدد RFC 7627 تماما.

2] إزالة مجموعات التشفير TLS_DHE_ *

إذا كان نظام التشغيل لا يدعم EMS ، فيجب على مسؤول تكنولوجيا المعلومات إزالة مجموعات التشفير TLS_DHE_ * من قائمة مجموعات التشفير على نظام التشغيل لجهاز عميل TLS. وثائق كاملة ل مجموعات التشفير Schannel ذات الأولوية متاح.

ومع ذلك ، يعد هذا إصلاحًا مؤقتًا ، وتعطيلها يعني فقط أنك تدعو إلى هجوم man-in-the-middle.

3] تمكين / تعطيل EMS في Windows 10 / Windows Server

إذا قمت بتعطيل EMS على جهاز الكمبيوتر الخاص بك ، نظرًا لوجود مشكلة في TLS ، فاستخدم إعدادات التسجيل على كل من الخادم والعميل لتمكينه.

• يفتح محرر التسجيل
• انتقل إلى قناة HKLM System CurrentControlSet Control SecurityProviders Schannel
  • إلى خوادم TLS: DisableServerExtendedMasterSecret: 0
  • على عميل TLS: DisableClientExtendedMasterSecret: 0

إذا لم تكن متوفرة ، يمكنك إنشاؤها.

آمل أن تكون هذه الحلول مفيدة في حل المشكلة التي تواجهها مع TLS مؤقتًا. ترقبوا التحديثات التي سيتم إصدارها لمعالجة هذه المشكلة.