Настройки безопасности протокола TLS в Windows 10, как исправить

Обновлено: 21.11.2024

Transport Layer Security (TLS), как и Secure Sockets Layer (SSL), представляет собой протокол шифрования, предназначенный для обеспечения безопасности данных при передаче по сети. В этих статьях описываются действия, необходимые для обеспечения того, чтобы для безопасной связи Configuration Manager использовался протокол TLS 1.2. В этих статьях также описываются требования к обновлению для часто используемых компонентов и способы устранения распространенных проблем.

Включение TLS 1.2

Диспетчер конфигураций использует множество различных компонентов для безопасной связи. Протокол, используемый для данного соединения, зависит от возможностей соответствующих компонентов как на стороне клиента, так и на стороне сервера. Если какой-либо компонент устарел или настроен неправильно, для связи может использоваться более старый и менее безопасный протокол. Чтобы правильно включить в Configuration Manager поддержку TLS 1.2 для всех защищенных соединений, необходимо включить TLS 1.2 для всех необходимых компонентов. Необходимые компоненты зависят от вашей среды и используемых вами функций Configuration Manager.

Начните этот процесс с клиентов, особенно с предыдущими версиями Windows. Перед включением TLS 1.2 и отключением старых протоколов на серверах Configuration Manager убедитесь, что все клиенты поддерживают TLS 1.2. В противном случае клиенты не смогут обмениваться данными с серверами и могут быть потеряны.

Задачи для клиентов Configuration Manager, серверов сайта и удаленных систем сайта

Чтобы включить TLS 1.2 для компонентов, от которых зависит безопасность связи Configuration Manager, вам потребуется выполнить несколько задач как на клиентах, так и на серверах сайта.

Включить TLS 1.2 для клиентов Configuration Manager

Включить TLS 1.2 для серверов сайта Configuration Manager и удаленных систем сайта

Функции и зависимости сценариев

В этом разделе описываются зависимости для конкретных функций и сценариев Configuration Manager. Чтобы определить следующие шаги, найдите элементы, которые относятся к вашей среде.

Часто задаваемые вопросы

Зачем использовать TLS 1.2 с Configuration Manager?

TLS 1.2 более безопасен, чем предыдущие криптографические протоколы, такие как SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1. По сути, TLS 1.2 обеспечивает более безопасную передачу данных по сети.

Где Configuration Manager использует протоколы шифрования, такие как TLS 1.2?

Существует пять основных областей, в которых Configuration Manager использует протоколы шифрования, такие как TLS 1.2:

От чего зависит используемый протокол шифрования?

Что определяет, какую версию протокола могут использовать клиент и сервер?

Как правило, следующие элементы могут определить, какая версия протокола используется:

Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 с пакетом обновления 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Foundation Windows Server 2008 R2 для систем на базе процессоров Itanium Windows 7 с пакетом обновления 1 (SP1) Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Еще. Меньше

Это обновление обеспечивает поддержку Transport Layer Security (TLS) 1.1 и TLS 1.2 в Windows Server 2012, Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 SP1.

Об этом обновлении

Это обновление требует, чтобы компонент Secure Channel (Schannel) в Windows 7 был настроен для поддержки TLS 1.1 и 1.2. Поскольку эти версии протокола не включены по умолчанию в Windows 7, необходимо настроить параметры реестра, чтобы приложения Office могли успешно использовать TLS 1.1 и 1.2.

Это обновление не изменит поведение приложений, которые вручную устанавливают безопасные протоколы вместо передачи флага по умолчанию.

Как получить это обновление

Важно! Если вы устанавливаете языковой пакет после установки этого обновления, вы должны переустановить это обновление. Поэтому перед установкой этого обновления рекомендуется установить все необходимые языковые пакеты. Дополнительные сведения см. в разделе Добавление языковых пакетов в Windows.

Способ 1: Центр обновления Windows

Это обновление предоставляется в качестве рекомендуемого обновления в Центре обновления Windows. Дополнительные сведения о том, как запустить Центр обновления Windows, см. в разделе Как получить обновление через Центр обновления Windows.

Способ 2. Каталог Центра обновления Майкрософт

Чтобы получить отдельный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.

Обновить подробную информацию

Предпосылки

Для установки этого обновления в Windows Server 2012 нет предварительных условий.

Информация о реестре

Чтобы применить это обновление, необходимо добавить подраздел реестра DefaultSecureProtocols.
Примечание. Для этого можно добавить подраздел реестра вручную или установить «Простое исправление», чтобы заполнить подраздел реестра.

Требование перезапустить

Возможно, вам придется перезагрузить компьютер после установки этого обновления.

Обновить информацию о замене

Это обновление не заменяет ранее выпущенное обновление.

Дополнительная информация

Для индустрии платежных карт (PCI) требуется TLS 1.1 или TLS 1.2.

Как работает запись реестра DefaultSecureProtocols

Важно! Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе Резервное копирование и восстановление реестра в Windows.

Примечание. Программа установки исправления не добавляет значение DefaultSecureProtocols. Администратор должен вручную добавить запись после определения протоколов переопределения. Или вы можете установить «Простое исправление», чтобы добавить запись автоматически.

Запись реестра DefaultSecureProtocols можно добавить по следующему пути:

На компьютерах с архитектурой x64 протоколы DefaultSecureProtocols также необходимо добавить к пути Wow6432Node:

Значением реестра является растровое изображение DWORD. Используемое значение определяется путем добавления значений, соответствующих нужным протоколам.

При включении TLS 1.2 для среды Configuration Manager сначала убедитесь, что клиенты способны и должным образом настроены для использования TLS 1.2, прежде чем включать TLS 1.2 и отключать старые протоколы на серверах сайта и удаленных системах сайта. Есть три задачи по включению TLS 1.2 на клиентах:

Дополнительные сведения о зависимостях для конкретных функций и сценариев Configuration Manager см. в разделе О включении TLS 1.2.

Включите эти параметры на всех клиентах с более ранними версиями Windows до включения TLS 1.2 и отключения старых протоколов на серверах Configuration Manager. В противном случае вы можете непреднамеренно сделать их осиротевшими.

Проверьте значение параметра реестра DefaultSecureProtocols, например:

Если вы измените это значение, перезагрузите компьютер.

Если вы хотите полностью отключить SSL 3.0 и TLS 1.0, используйте параметр отключенных протоколов SChannel в Windows. Дополнительные сведения см. в разделе Ограничение использования определенных криптографических алгоритмов и протоколов в Schannel.dll.

Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы

TLS 1.2 включен по умолчанию. Поэтому для его включения не требуется никаких изменений в этих ключах. Вы можете внести изменения в разделе «Протоколы», чтобы отключить TLS 1.0 и TLS 1.1, после того как вы выполнили остальные рекомендации в этих статьях и убедились, что среда работает, когда включен только TLS 1.2.

NET Framework 4.6.2 и более поздние версии поддерживают TLS 1.1 и TLS 1.2. Подтвердите параметры реестра, но никаких дополнительных изменений не требуется.

  • Для Windows 8.1 и Server 2012 R2: накопительный пакет исправлений 3099842
  • Для Windows Server 2012: накопительный пакет исправлений 3099844

Настройка надежной криптографии

Обязательно задайте следующие разделы реестра на любом компьютере, который обменивается данными по сети с системой с поддержкой TLS 1.2. Например, клиенты Configuration Manager, роли системы удаленного сайта, не установленные на сервере сайта, и сам сервер сайта.

Для 32-разрядных приложений, работающих в 32-разрядных ОС, и для 64-разрядных приложений, работающих в 64-разрядных ОС, обновите следующие значения подраздела:

Для 32-разрядных приложений, работающих в 64-разрядных ОС, обновите следующие значения подраздела:

Windows 10, версия 1903, все выпуски Windows 10, версия 1809, все выпуски Windows Server 2019, все выпуски Windows 10, версия 1803, все выпуски Windows 10, версия 1709, все выпуски Windows 10, версия 1703, все выпуски Windows 10, версия 1607, все выпуски Windows Server 2016, все выпуски Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 с пакетом обновления 1 Windows Server 2008 R2 Windows Server 2008 с пакетом обновления 2 Windows Embedded 8 Standard Windows Embedded Standard 7 с пакетом обновления 1 Windows Embedded POSReady 7 Еще. Меньше

Симптомы

При попытке подключения безопасность транспортного уровня (TLS) может завершиться ошибкой или тайм-аутом. Вы также можете получить одно или несколько сообщений со следующими ошибками:

"Запрос был прерван: не удалось создать безопасный канал SSL/TLS"

В журнале системных событий зарегистрирована ошибка для события SCHANNEL 36887 с кодом оповещения 20 и описанием: "От удаленной конечной точки получено фатальное оповещение. Код фатального оповещения, определенный протоколом TLS, равен 20".

Причина

Из-за принудительного применения CVE-2019-1318, связанного с безопасностью, все обновления для поддерживаемых версий Windows, выпущенные 8 октября 2019 г. или более поздней версии, требуют продления расширенного главного секрета (EMS) в соответствии с RFC 7627. Подключения к сторонним устройства и операционные системы, которые не соответствуют требованиям, могут иметь проблемы или выйти из строя.

Дальнейшие шаги

Подключения между двумя устройствами под управлением любой поддерживаемой версии Windows не должны вызывать эту проблему при полном обновлении. Для решения этой проблемы не требуется обновление для Windows. Эти изменения необходимы для решения проблемы безопасности и соответствия требованиям безопасности.

Любая сторонняя операционная система, устройство или служба, не поддерживающие возобновление работы EMS, могут иметь проблемы, связанные с подключениями TLS. Вам следует обратиться к администратору, производителю или поставщику услуг для получения обновлений, которые полностью поддерживают возобновление работы EMS в соответствии с RFC 7627.

Примечание. Microsoft не рекомендует отключать EMS. Если EMS ранее был явно отключен, его можно снова включить, установив следующие значения раздела реестра:

На сервере TLS: DisableServerExtendedMasterSecret: 0
На клиенте TLS: DisableClientExtendedMasterSecret: 0

Дополнительная информация для администраторов

<р>1. Устройство Windows, пытающееся подключиться по протоколу TLS к устройству, которое не поддерживает расширенный главный секрет (EMS), когда согласовываются наборы шифров TLS_DHE_*, может периодически завершаться ошибкой примерно в 1 из 256 попыток. Чтобы устранить эту проблему, реализуйте одно из следующих решений, перечисленных в порядке предпочтения:

Включить поддержку расширений Extend Master Secret (EMS) при выполнении подключений TLS как в клиентской, так и в серверной операционной системе.

Для операционных систем, не поддерживающих EMS, удалите наборы шифров TLS_DHE_* из списка наборов шифров в ОС клиентского устройства TLS. Инструкции о том, как это сделать в Windows, см. в разделе Приоритизация наборов шифров Schannel.


2. Операционные системы, которые отправляют сообщения с запросом сертификата только в полном рукопожатии после возобновления, не соответствуют RFC 2246 (TLS 1.0) или RFC 5246 (TLS 1.2) и приведут к сбою каждого соединения. Возобновление не гарантируется RFC, но может использоваться по усмотрению клиента и сервера TLS. Если вы столкнулись с этой проблемой, вам необходимо обратиться к производителю или поставщику услуг за обновлениями, соответствующими стандартам RFC.

<р>3. FTP-серверы или клиенты, не соответствующие RFC 2246 (TLS 1.0) и RFC 5246 (TLS 1.2), могут не передавать файлы при возобновлении или сокращенном рукопожатии, что приведет к сбою каждого соединения. Если вы столкнулись с этой проблемой, вам необходимо обратиться к производителю или поставщику услуг за обновлениями, соответствующими стандартам RFC.

Затронутые обновления

Эта проблема может возникнуть с любым последним накопительным обновлением (LCU) или ежемесячными накопительными пакетами, выпущенными 8 октября 2019 года или позже для уязвимых платформ:

KB4517389 LCU для Windows 10, версия 1903.

KB4519338 LCU для Windows 10 версии 1809 и Windows Server 2019.

KB4520008 LCU для Windows 10, версия 1803.

KB4520004 LCU для Windows 10 версии 1709.

KB4520010 LCU для Windows 10, версия 1703.

KB4519998 LCU для Windows 10 версии 1607 и Windows Server 2016.

KB4520011 LCU для Windows 10 версии 1507.

Ежемесячный накопительный пакет KB4520005 для Windows 8.1 и Windows Server 2012 R2.

Ежемесячный накопительный пакет KB4520007 для Windows Server 2012.

Ежемесячный накопительный пакет KB4519976 для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).

Ежемесячный накопительный пакет KB4520002 для Windows Server 2008 SP2

Эта проблема может возникать в следующем пакете Security Only, выпущенном 8 октября 2019 года для уязвимых платформ:

KB4519990 Обновление только для системы безопасности для Windows 8.1 и Windows Server 2012 R2.

KB4519985 Обновление безопасности только для Windows Server 2012 и Windows Embedded 8 Standard.

KB4520003 Обновление безопасности только для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Читайте также: