KB5017811 — إدارة أمان طبقة النقل (TLS) 1.0 و1.1 بعد تغيير السلوك الافتراضي في 20 سبتمبر 2022

الملخص

بروتوكول أمان طبقة النقل (TLS) 1.0 و1.1 بروتوكولات أمان لإنشاء قنوات تشفير عبر شبكات الكمبيوتر. Microsoft دعمها منذ Windows XP وWindows Server 2003. ومع ذلك، فإن المتطلبات التنظيمية تتغير. أيضا، هناك نقاط ضعف أمنية جديدة في TLS 1.0. لذلك، توصي Microsoft بإزالة تبعيات TLS 1.0 و1.1. نوصي أيضا بتعطيل TLS 1.0 و1.1 على مستوى نظام التشغيل حيثما أمكن ذلك. لمزيد من التفاصيل، راجع تعطيل TLS 1.0 و1.1. في تحديث معاينة 20 سبتمبر 2022، سنقوم بتعطيل TLS 1.0 و1.1 بشكل افتراضي للتطبيقات استنادا إلى winhttp وwininet. وهذا جزء من جهد مستمر. ستساعدك هذه المقالة على إعادة تمكينها. ستنعكس هذه التغييرات بعد تثبيت تحديثات Windows التي تم إصدارها في 20 سبتمبر 2022 أو بعد ذلك.

السلوك عند الوصول إلى ارتباطات TLS 1.0 و1.1 في المستعرض

بعد 20 سبتمبر 2022، ستظهر رسالة عندما يفتح المستعرض موقع ويب يستخدم TLS 1.0 أو 1.1. راجع الشكل 1. تنص الرسالة على أن الموقع يستخدم بروتوكول TLS قديما أو غير آمن. لمعالجة ذلك، يمكنك تحديث بروتوكول TLS إلى TLS 1.2 أو أعلى. إذا لم يكن ذلك ممكنا، يمكنك تمكين TLS كما تمت مناقشته في تمكين إصدار TLS 1.1 والإصدارات أدناه.

نافذة Internet explorer عند الوصول إلى ارتباط TLS 1.0 و1.1

الشكل 1: نافذة المستعرض عند الوصول إلى صفحة ويب TLS 1.0 و1.1

السلوك عند الوصول إلى ارتباطات TLS 1.0 و1.1 في تطبيقات winhttp

بعد التحديث، قد تفشل التطبيقات المستندة إلى winhttp. رسالة الخطأ هي، "ERROR_WINHTTP_SECURE_FAILURE أثناء تنفيذ عملية WinHttpSendRequest."

السلوك عند الوصول إلى ارتباطات TLS 1.0 و1.1 في تطبيقات واجهة المستخدم المخصصة استنادا إلى winhttp أو wininet

عندما يحاول أحد التطبيقات إنشاء اتصال باستخدام TLS 1.1 وما بعده، قد يبدو أن الاتصال يفشل. عند إغلاق تطبيق أو توقفه عن العمل، يظهر مربع الحوار مساعد توافق البرامج (PCA) كما هو موضح في الشكل 2.

النافذة المنبثقة "مساعد توافق البرنامج" بعد إغلاق التطبيق

الشكل 2: مربع حوار مساعد توافق البرامج بعد إغلاق أحد التطبيقات

ينص مربع حوار PCA على "ربما لم يتم تشغيل هذا البرنامج بشكل صحيح." ضمن ذلك، هناك خياران:

تشغيل البرنامج باستخدام إعدادات التوافق
تم تشغيل هذا البرنامج بشكل صحيح

تشغيل البرنامج باستخدام إعدادات التوافق

عند اختيار هذا الخيار، يتم إعادة فتح التطبيق. الآن، تعمل جميع الارتباطات التي تستخدم TLS 1.0 و1.1 بشكل صحيح. من ذلك الحين فصاعدا، لن يظهر مربع حوار PCA. يضيف محرر السجل إدخالات إلى المسارات التالية:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

إذا اخترت هذا الخيار عن طريق الخطأ، يمكنك حذف هذه الإدخالات. إذا قمت بحذفها، فسترى مربع حوار PCA في المرة التالية التي تفتح فيها التطبيق.

قائمة البرامج التي يجب تشغيلها باستخدام إعدادات التوافق

الشكل 3: قائمة البرامج التي يجب تشغيلها باستخدام إعدادات التوافق

تم تشغيل هذا البرنامج بشكل صحيح

عند اختيار هذا الخيار، يتم إغلاق التطبيق بشكل طبيعي. في المرة التالية التي تعيد فيها فتح التطبيق، لا يظهر مربع حوار PCA. يحظر النظام جميع محتويات TLS 1.0 و1.1. يضيف محرر السجل الإدخال التالي إلى المسارComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. راجع الشكل 4. إذا اخترت هذا الخيار عن طريق الخطأ، يمكنك حذف هذا الإدخال. إذا قمت بحذف الإدخال، فسترى مربع حوار PCA في المرة التالية التي تفتح فيها التطبيق.

إدخال في محرر التسجيل يحدد تشغيل التطبيق بشكل صحيح

الشكل 4: إدخال في محرر السجل يفيد بأن التطبيق يعمل بشكل صحيح

الهامه يتم تمكين بروتوكولات TLS القديمة لتطبيقات معينة فقط. هذا صحيح على الرغم من تعطيلها في الإعدادات على مستوى النظام.

تمكين الإصدار 1.1 من TLS والإصدارات الأحدث (إعدادات wininet وInternet Explorer)

لا نوصي بتمكين TLS 1.1 وما دونه لأنه لم يعد يعتبر آمنا. وهم عرضة لهجمات مختلفة، مثل هجوم POODLE. لذلك، قبل تمكين TLS 1.1، قم بأحد الإجراءات التالية:

تحقق مما إذا كان هناك إصدار أحدث من التطبيق متوفرا.
اطلب من مطور التطبيق إجراء تغييرات التكوين في التطبيق لإزالة التبعية على TLS 1.1 والإنزال.

في حالة عدم عمل أي من الحلول، فهناك طريقتان لتمكين بروتوكولات TLS القديمة في الإعدادات على مستوى النظام:

خيارات الإنترنت
محرر نهج المجموعة

خيارات الإنترنت

لفتح خيارات الإنترنت، اكتب خيارات الإنترنت في مربع البحث على شريط المهام. يمكنك أيضا تحديد تغيير الإعدادات من مربع الحوار الموضح في الشكل 1. في علامة التبويب خيارات متقدمة ، مرر لأسفل في لوحة الإعدادات . هناك يمكنك تمكين بروتوكولات TLS أو تعطيلها.

نافذة خيارات الإنترنت

الشكل 5: مربع الحوار خصائص الإنترنت

محرر نهج المجموعة

لفتح محرر نهج المجموعة، اكتب gpedit.msc في مربع البحث في شريط المهام. تظهر نافذة مثل تلك المعروضة في الشكل 6.

نافذة محرر نهج المجموعة

الشكل 6: نهج المجموعة نافذة المحرر

انتقل إلى نهج الكمبيوتر المحلي > (تكوين الكمبيوتر أو تكوين المستخدم) > المعابد الإدارية > مكونات Windows > Internet Explorer > الإنترنت لوحة التحكم > صفحة متقدمة > إيقاف تشغيل دعم التشفير. راجع الشكل 7.
انقر نقرا مزدوجا فوق إيقاف تشغيل دعم التشفير.

الشكل 7: مسار إيقاف تشغيل دعم التشفير في محرر نهج المجموعة
حدد الخيار Enabled . ثم استخدم القائمة المنسدلة لتحديد إصدار TLS الذي تريد تمكينه كما هو موضح في الشكل 8.

الشكل 8: تمكين إيقاف تشغيل دعم التشفير والقائمة المنسدلة

بمجرد تمكين النهج في محرر نهج المجموعة، لا يمكنك تغييره في خيارات الإنترنت. على سبيل المثال، إذا حددت استخدام SSL3.0 وTLS 1.0، فلن تتوفر جميع الخيارات الأخرى في خيارات الإنترنت. راجع الشكل 9. لا يمكنك تغيير أي من الإعدادات في خيارات الإنترنت إذا قمت بتمكين إيقاف تشغيل دعم التشفير في محرر نهج المجموعة.

خيارات الإنترنت مع إعدادات SSL وTLS غير الرمادية

الشكل 9: تعرض خيارات الإنترنت إعدادات SSL وTLS غير المتوفرة

تمكين الإصدار 1.1 من TLS والإصدارات الأحدث (إعدادات winhttp)

راجع التحديث لتمكين TLS 1.1 وTLS 1.2 كبروتوكولات آمنة افتراضية في WinHTTP في Windows.

مسارات التسجيل المهمة (إعدادات wininet وInternet Explorer)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- هنا يمكنك العثور على SecureProtocols، الذي يخزن قيمة البروتوكولات الممكنة حاليا إذا كنت تستخدم محرر نهج المجموعة.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- هنا يمكنك العثور على SecureProtocols، الذي يخزن قيمة البروتوكولات الممكنة حاليا إذا كنت تستخدم خيارات الإنترنت.
سيكون نهج المجموعة SecureProtocols الأسبقية على المجموعة التي تم تعيينها بواسطة خيارات الإنترنت.

تمكين TLS الاحتياطي غير الآمن

ستمكن التعديلات أعلاه TLS 1.0 وTLS 1.1. ومع ذلك، فإنها لن تمكن TLS الاحتياطية. لتمكين TLS الاحتياطي، يجب تعيين EnableInsecureTlsFallback إلى 1 في السجل ضمن المسارات أدناه.

لتغيير الإعدادات: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
لتعيين النهج: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

إذا لم يكن EnableInsecureTlsFallback موجودا، فيجب عليك إنشاء إدخال DWORD جديد وتعيينه إلى 1.

مسارات التسجيل المهمة

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- وهو FALSE بشكل افتراضي. سيؤدي تعيين قيمة غير صفرية إلى منع التطبيقات من تعيين بروتوكولات مخصصة باستخدام خيار winhttp.
تمكينInsecureTlsFallback
- لتغيير الإعدادات: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- لتعيين النهج: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- وهو FALSE بشكل افتراضي. سيؤدي تعيين قيمة غير صفرية إلى تمكين التطبيقات من العودة إلى البروتوكولات غير الآمنة (TLS1.0 و1.1) إذا فشل تأكيد الاتصال مع البروتوكولات الآمنة (tls1.2 وما فوق).