KB5017811—Διαχείριση ασφάλειας επιπέδου μεταφοράς (TLS) 1.0 και 1.1 μετά την προεπιλεγμένη αλλαγή συμπεριφοράς στις 20 Σεπτεμβρίου 2022

Σύνοψη

Transport Layer Security (TLS) 1.0 και 1.1 είναι πρωτόκολλα ασφαλείας για τη δημιουργία καναλιών κρυπτογράφησης μέσω δικτύων υπολογιστών. Η Microsoft τις υποστηρίζει από τα Windows XP και τον Windows Server 2003. Ωστόσο, οι ρυθμιστικές απαιτήσεις αλλάζουν. Επίσης, υπάρχουν νέες αδυναμίες ασφαλείας στο TLS 1.0. Επομένως, Microsoft συνιστά να καταργήσετε τις εξαρτήσεις TLS 1.0 και 1.1. Συνιστάται επίσης να απενεργοποιήσετε το TLS 1.0 και 1.1 σε επίπεδο λειτουργικού συστήματος, όπου αυτό είναι δυνατό. Για περισσότερες λεπτομέρειες, ανατρέξτε στο θέμα Απενεργοποίηση TLS 1.0 και 1.1. Στην ενημέρωση προεπισκόπησης της 20ης Σεπτεμβρίου 2022, θα απενεργοποιήσουμε τις εκδόσεις TLS 1.0 και 1.1 από προεπιλογή για τις εφαρμογές που βασίζονται σε winhttp και wininet. Αυτό είναι μέρος μιας συνεχιζόμενης προσπάθειας. Αυτό το άρθρο θα σας βοηθήσει να τα ενεργοποιήσετε ξανά. Αυτές οι αλλαγές θα εμφανιστούν μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 20 Σεπτεμβρίου 2022.

Συμπεριφορά κατά την πρόσβαση σε συνδέσεις TLS 1.0 και 1.1 στο πρόγραμμα περιήγησης

Μετά τις 20 Σεπτεμβρίου 2022, θα εμφανιστεί ένα μήνυμα όταν το πρόγραμμα περιήγησης ανοίξει μια τοποθεσία Web που χρησιμοποιεί TLS 1.0 ή 1.1. Ανατρέξτε στην Εικόνα 1. Το μήνυμα αναφέρει ότι η τοποθεσία χρησιμοποιεί ένα μη ενημερωμένο ή μη ασφαλές πρωτόκολλο TLS. Για να επιλύσετε αυτό το θέμα, μπορείτε να ενημερώσετε το πρωτόκολλο TLS σε TLS 1.2 ή νεότερη έκδοση. Εάν αυτό δεν είναι δυνατό, μπορείτε να ενεργοποιήσετε το TLS όπως περιγράφεται στην ενότητα Ενεργοποίηση της έκδοσης TLS 1.1 και παρακάτω.

Παράθυρο του Internet explorer κατά την πρόσβαση στη σύνδεση TLS 1.0 και 1.1

Σχήμα 1: Παράθυρο προγράμματος περιήγησης κατά την πρόσβαση στην ιστοσελίδα TLS 1.0 και 1.1

Συμπεριφορά κατά την πρόσβαση σε συνδέσεις TLS 1.0 και 1.1 σε εφαρμογές winhttp

Μετά την ενημέρωση, οι εφαρμογές που βασίζονται στο winhttp ενδέχεται να αποτύχουν. Το μήνυμα σφάλματος είναι "ERROR_WINHTTP_SECURE_FAILURE κατά την εκτέλεση της λειτουργίας WinHttpSendRequest".

Συμπεριφορά κατά την πρόσβαση σε συνδέσεις TLS 1.0 και 1.1 σε προσαρμοσμένες εφαρμογές περιβάλλοντος εργασίας χρήστη με βάση winhttp ή wininet

Όταν μια εφαρμογή προσπαθεί να δημιουργήσει μια σύνδεση χρησιμοποιώντας TLS 1.1 και παρακάτω, η σύνδεση ενδέχεται να φαίνεται ότι αποτυγχάνει. Όταν κλείνετε μια εφαρμογή ή σταματά να λειτουργεί, το παράθυρο διαλόγου Βοηθός συμβατότητας προγραμμάτων (PCA) εμφανίζεται όπως φαίνεται στην Εικόνα 2.

Αναδυόμενο παράθυρο "Βοηθός συμβατότητας προγραμμάτων" μετά το κλείσιμο της εφαρμογής

Σχήμα 2: Παράθυρο διαλόγου "Βοηθός συμβατότητας προγραμμάτων" μετά το κλείσιμο μιας εφαρμογής

Το παράθυρο διαλόγου PCA αναφέρει "Αυτό το πρόγραμμα ενδέχεται να μην έχει εκτελεστεί σωστά." Στην περιοχή αυτή, υπάρχουν δύο επιλογές:

Εκτέλεση του προγράμματος με χρήση των ρυθμίσεων συμβατότητας
Αυτό το πρόγραμμα έτρεξε σωστά

Εκτέλεση του προγράμματος με χρήση των ρυθμίσεων συμβατότητας

Όταν ενεργοποιήσετε αυτή την επιλογή, η εφαρμογή ανοίγει ξανά. Τώρα, όλες οι συνδέσεις που χρησιμοποιούν TLS 1.0 και 1.1 λειτουργούν σωστά. Από εκεί και στο εξής, δεν θα εμφανίζεται παράθυρο διαλόγου PCA. Ο Επεξεργαστής Μητρώου προσθέτει καταχωρήσεις στις παρακάτω διαδρομές:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Εάν επιλέξατε αυτή την επιλογή κατά λάθος, μπορείτε να διαγράψετε αυτές τις καταχωρήσεις. Εάν τα διαγράψετε, θα δείτε το παράθυρο διαλόγου PCA την επόμενη φορά που θα ανοίξετε την εφαρμογή.

Λίστα προγραμμάτων που θα πρέπει να εκτελέσετε χρησιμοποιώντας τις ρυθμίσεις συμβατότητας

Σχήμα 3: Λίστα προγραμμάτων που πρέπει να εκτελούνται με χρήση των ρυθμίσεων συμβατότητας

Αυτό το πρόγραμμα έτρεξε σωστά

Όταν ενεργοποιείτε αυτή την επιλογή, η εφαρμογή κλείνει κανονικά. Την επόμενη φορά που θα ανοίξετε ξανά την εφαρμογή, δεν θα εμφανιστεί παράθυρο διαλόγου PCA. Το σύστημα αποκλείει όλο το περιεχόμενο TLS 1.0 και 1.1. Ο Επεξεργαστής Μητρώου προσθέτει την ακόλουθη καταχώρηση στη διαδρομή Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Ανατρέξτε στο Σχήμα 4. Εάν επιλέξατε αυτή την επιλογή κατά λάθος, μπορείτε να διαγράψετε αυτήν την καταχώρηση. Εάν διαγράψετε την καταχώρηση, θα δείτε το παράθυρο διαλόγου PCA την επόμενη φορά που θα ανοίξετε την εφαρμογή.

Καταχώρηση στον επεξεργαστή μητρώου που καθορίζει ότι η εφαρμογή λειτουργούσε σωστά

Σχήμα 4: Καταχώρηση στον Επεξεργαστή Μητρώου που δηλώνει ότι η εφαρμογή λειτουργούσε σωστά

Σημαντικό Τα πρωτόκολλα TLS παλαιού τύπου ενεργοποιούνται μόνο για συγκεκριμένες εφαρμογές. Αυτό ισχύει ακόμα και αν είναι απενεργοποιημένες στις ρυθμίσεις σε ολόκληρο το σύστημα.

Ενεργοποίηση TLS έκδοσης 1.1 και νεότερων εκδόσεων (ρυθμίσεις wininet και Internet Explorer)

Δεν συνιστάται η ενεργοποίηση του TLS 1.1 και των παρακάτω, επειδή δεν θεωρούνται πλέον ασφαλείς. Είναι ευάλωτοι σε διάφορες επιθέσεις, όπως η επίθεση POODLE. Επομένως, πριν από την ενεργοποίηση του TLS 1.1, κάντε ένα από τα εξής:

Ελέγξτε εάν είναι διαθέσιμη μια νεότερη έκδοση της εφαρμογής.
Ζητήστε από τον προγραμματιστή της εφαρμογής να κάνει αλλαγές στις παραμέτρους της εφαρμογής για να καταργήσει την εξάρτηση από το TLS 1.1 και τις παρακάτω.

Σε περίπτωση που καμία από τις λύσεις δεν λειτουργήσει, υπάρχουν δύο τρόποι για να ενεργοποιήσετε παλαιού τύπου πρωτόκολλα TLS στις ρυθμίσεις για ολόκληρο το σύστημα:

Επιλογές Internet
Πρόγραμμα επεξεργασίας πολιτικής ομάδας

Επιλογές Internet

Για να ανοίξετε τις Επιλογές Internet, πληκτρολογήστε Επιλογές Internet στο πλαίσιο αναζήτησης στη γραμμή εργασιών. Μπορείτε επίσης να επιλέξετε Αλλαγή ρυθμίσεων από το παράθυρο διαλόγου που εμφανίζεται στην Εικόνα 1. Στην καρτέλα Για προχωρημένους , κάντε κύλιση προς τα κάτω στον πίνακα Ρυθμίσεις . Εκεί μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε τα πρωτόκολλα TLS.

Παράθυρο "Επιλογές Internet"

Σχήμα 5: Παράθυρο διαλόγου "Ιδιότητες Internet"

Το πρόγραμμα επεξεργασίας Πολιτική ομάδας

Για να ανοίξετε το πρόγραμμα επεξεργασίας Πολιτική ομάδας, πληκτρολογήστε gpedit.msc στο πλαίσιο αναζήτησης της γραμμής εργασιών. Εμφανίζεται ένα παράθυρο όπως αυτό που εμφανίζεται στην Εικόνα 6.

Παράθυρο προγράμματος επεξεργασίας πολιτικής ομάδας

Σχήμα 6: παράθυρο προγράμματος επεξεργασίας Πολιτική ομάδας

Μεταβείτε στο > τοπικής πολιτικής υπολογιστή(ρυθμίσεις παραμέτρων υπολογιστή ή ρύθμιση παραμέτρων χρήστη) > > στοιχείων των Windows>Internet Explorer> Internet Πίνακας Ελέγχου > Advanced Page > Απενεργοποίηση υποστήριξης κρυπτογράφησης. Ανατρέξτε στην Εικόνα 7.
Κάντε διπλό κλικ στην επιλογή Απενεργοποίηση υποστήριξης κρυπτογράφησης.

Σχήμα 7: Διαδρομή για την απενεργοποίηση της υποστήριξης κρυπτογράφησης στο πρόγραμμα επεξεργασίας Πολιτική ομάδας
Επιλέξτε Ενεργοποίηση . Στη συνέχεια, χρησιμοποιήστε την αναπτυσσόμενη λίστα για να επιλέξετε την έκδοση TLS που θέλετε να ενεργοποιήσετε, όπως φαίνεται στην Εικόνα 8.

Σχήμα 8: Ενεργοποίηση απενεργοποίησης υποστήριξης κρυπτογράφησης και αναπτυσσόμενης λίστας

Αφού ενεργοποιήσετε την πολιτική στο πρόγραμμα επεξεργασίας Πολιτική ομάδας, δεν μπορείτε να την αλλάξετε στις Επιλογές Internet. Για παράδειγμα, εάν επιλέξετε Χρήση SSL3.0 και TLS 1.0, όλες οι άλλες επιλογές δεν θα είναι διαθέσιμες στις Επιλογές Internet. Ανατρέξτε στο Σχήμα 9. Δεν μπορείτε να αλλάξετε καμία από τις ρυθμίσεις στις Επιλογές Internet, εάν ενεργοποιήσετε την επιλογή Απενεργοποίηση υποστήριξης κρυπτογράφησης στο πρόγραμμα επεξεργασίας Πολιτική ομάδας.

Επιλογές Internet με γκριζαρισμένες ρυθμίσεις SSL και TLS

Σχήμα 9: Επιλογές Internet που εμφανίζουν μη διαθέσιμες ρυθμίσεις SSL και TLS

Ενεργοποίηση TLS έκδοσης 1.1 και παρακάτω (ρυθμίσεις winhttp)

Ανατρέξτε στο θέμα Ενημέρωση για την ενεργοποίηση των TLS 1.1 και TLS 1.2 ως προεπιλεγμένων ασφαλών πρωτοκόλλων στο WinHTTP στα Windows.

Σημαντικές διαδρομές μητρώου (ρυθμίσεις wininet και Internet Explorer)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Εδώ μπορείτε να βρείτε τα SecureProtocols, τα οποία αποθηκεύουν την τιμή των πρωτοκόλλων που είναι ενεργοποιημένα τη συγκεκριμένη στιγμή, εάν χρησιμοποιείτε το πρόγραμμα επεξεργασίας Πολιτική ομάδας.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Εδώ μπορείτε να βρείτε τα SecureProtocols, τα οποία αποθηκεύουν την τιμή των πρωτοκόλλων που είναι ενεργοποιημένα τη συγκεκριμένη στιγμή, εάν χρησιμοποιείτε τις Επιλογές Internet.
Πολιτική ομάδας SecureProtocols θα έχει προτεραιότητα σε σχέση με αυτό που έχουν οριστεί από τις Επιλογές Internet.

Ενεργοποίηση μη ασφαλούς εναλλακτικής TLS

Οι παραπάνω τροποποιήσεις θα ενεργοποιήσουν το TLS 1.0 και το TLS 1.1. Ωστόσο, δεν θα ενεργοποιηθεί η εναλλακτική μέθοδος TLS. Για να ενεργοποιήσετε την εναλλακτική μέθοδο TLS, πρέπει να ορίσετε την τιμή EnableInsecureTlsFallback σε 1 στο μητρώο κάτω από τις παρακάτω διαδρομές.

Για να αλλάξετε τις ρυθμίσεις: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
Για να ορίσετε πολιτική: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Εάν το EnableInsecureTlsFallback δεν υπάρχει, τότε πρέπει να δημιουργήσετε μια νέα καταχώρηση DWORD και να την ορίσετε σε 1.

Σημαντικές διαδρομές μητρώου

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Είναι FALSE από προεπιλογή. Ο ορισμός μιας μη μηδενικής τιμής θα διακόψει τη ρύθμιση προσαρμοσμένων πρωτοκόλλων από τις εφαρμογές χρησιμοποιώντας την επιλογή winhttp.
EnableInsecureTlsFallback
- Για να αλλάξετε τις ρυθμίσεις: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Για να ορίσετε πολιτική: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Είναι FALSE από προεπιλογή. Ο ορισμός μιας μη μηδενικής τιμής θα επιτρέψει στις εφαρμογές να επιστρέψουν σε μη ασφαλή πρωτόκολλα (TLS1.0 και 1.1) εάν η χειραψία αποτύχει με ασφαλή πρωτόκολλα (tls1.2 και νεότερες εκδόσεις).