Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Összefoglalás

A Transport Layer Security (TLS) 1.0 és 1.1 biztonsági protokollok a titkosítási csatornák számítógépes hálózatokon keresztüli létrehozásához. Microsoft a Windows XP és a Windows Server 2003 óta támogatja őket. A szabályozási követelmények azonban változnak. A TLS 1.0 új biztonsági hiányosságokat is tartalmaz. Ezért Microsoft azt javasolja, hogy távolítsa el a TLS 1.0- és 1.1-függőségeket. Azt is javasoljuk, hogy lehetőség szerint az operációs rendszer szintjén tiltsa le a TLS 1.0-s és 1.1-es verziót. További részletekért lásd a TLS 1.0 és 1.1 letiltását ismertető cikket. A 2022. szeptember 20-i előzetes frissítésben alapértelmezés szerint letiltjuk a TLS 1.0-s és 1.1-es verzióját a winhttp és a wininet alapú alkalmazások esetében. Ez egy folyamatos erőfeszítés része. Ez a cikk segítséget nyújt az újbóli engedélyezésükhöz. Ezek a módosítások a 2022. szeptember 20-án vagy azt követően kiadott Windows-frissítések telepítése után is megjelennek.  

Viselkedés a TLS 1.0 és 1.1 hivatkozások böngészőben való elérésekor

2022. szeptember 20. után egy üzenet jelenik meg, amikor a böngésző megnyit egy TLS 1.0-s vagy 1.1-et használó webhelyet. Lásd: 1. ábra. Az üzenet szerint a webhely elavult vagy nem biztonságos TLS-protokollt használ. Ennek megoldásához frissítse a TLS protokollt TLS 1.2-s vagy újabb verzióra. Ha ez nem lehetséges, engedélyezheti a TLS-t a TLS 1.1-es és újabb verziójának engedélyezése című cikkben leírtak szerint.

Az Internet Explorer ablaka a TLS 1.0 és 1.1 hivatkozás elérésekor

1. ábra: Böngészőablak a TLS 1.0 és 1.1 weblap elérésekor

Viselkedés a TLS 1.0-s és 1.1-es hivatkozások elérésekor winhttp-alkalmazásokban

A frissítés után előfordulhat, hogy a winhttp-alapú alkalmazások meghiúsulnak. A hibaüzenet a következő: "ERROR_WINHTTP_SECURE_FAILURE a WinHttpSendRequest művelet végrehajtása közben."

Viselkedés a TLS 1.0- és 1.1-es hivatkozások elérésekor a winhttp vagy wininet alapú egyéni felhasználói felületi alkalmazásokban

Ha egy alkalmazás TLS 1.1-et vagy újabbat használva próbál kapcsolatot létrehozni, a kapcsolat sikertelennek tűnhet. Amikor bezár egy alkalmazást, vagy az nem működik, megjelenik a Programkompatibilitási segéd (PCA) párbeszédpanel a 2. ábrán látható módon.

A Programkompatibilitási segéd előugró ablaka az alkalmazás bezárása után

2. ábra: Programkompatibilitási segéd párbeszédpanel egy alkalmazás bezárása után

A PCA párbeszédpanelen a következőhöz hasonló szöveg jelenik meg: "Előfordulhat, hogy a program nem futott megfelelően." Ez alatt két lehetőség áll rendelkezésre:

  • A program futtatása kompatibilitási beállításokkal

  • A program megfelelően futott

A program futtatása kompatibilitási beállításokkal

Ha ezt a lehetőséget választja, az alkalmazás újra megnyílik. Most már minden TLS 1.0-t és 1.1-et használó hivatkozás megfelelően működik. Ettől kezdve nem jelenik meg PCA párbeszédpanel. A Beállításszerkesztő bejegyzéseket ad hozzá a következő elérési utakhoz:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Ha tévedésből választotta ezt a lehetőséget, törölheti ezeket a bejegyzéseket. Ha törli őket, az alkalmazás következő megnyitásakor megjelenik a PCA párbeszédpanel.

A kompatibilitási beállításokkal futtatandó programok listája

3. ábra: A kompatibilitási beállításokkal futtatandó programok listája

A program megfelelően futott

Ha ezt a lehetőséget választja, az alkalmazás a szokásos módon bezárul. Amikor legközelebb újra megnyitja az alkalmazást, nem jelenik meg PCA párbeszédpanel. A rendszer minden TLS 1.0- és 1.1-tartalmat blokkol. A Beállításszerkesztő a következő bejegyzést adja hozzá az elérési úthozComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Lásd a 4. ábrát. Ha tévedésből választotta ezt a lehetőséget, törölheti ezt a bejegyzést. Ha törli a bejegyzést, az alkalmazás következő megnyitásakor megjelenik a PCA párbeszédpanel.

Bejegyzés a beállításszerkesztőben, amely meghatározza, hogy az alkalmazás megfelelően futott-e

4. ábra: Bejegyzés a Beállításszerkesztőben, amely szerint az alkalmazás megfelelően futott

Fontos Az örökölt TLS-protokollok csak adott alkalmazásokhoz vannak engedélyezve. Ez akkor is igaz, ha a rendszerszintű beállítások letiltják őket.

Engedélyezze a TLS 1.1-es vagy újabb verzióját (wininet és Internet Explorer beállítások)

Nem javasoljuk a TLS 1.1 és újabb verzió engedélyezését, mert azok már nem tekinthetők biztonságosnak. Különböző támadásokkal vannak sebezhetők, például a POODLE támadásokkal szemben. Ezért a TLS 1.1 engedélyezése előtt tegye a következők egyikét:

  • Ellenőrizze, hogy elérhető-e az alkalmazás újabb verziója.

  • Kérje meg az alkalmazás fejlesztőjét, hogy végezze el a konfigurációs módosításokat az alkalmazásban a TLS 1.1-től és az alábbitól való függőség eltávolításához.

Ha egyik megoldás sem működik, kétféleképpen engedélyezheti az örökölt TLS-protokollokat a rendszerszintű beállításokban:

  • Internetbeállítások

  • Csoportházirend-szerkesztő

Internetbeállítások

Az Internetbeállítások megnyitásához írja be az Internetbeállítások kifejezést a tálcán lévő keresőmezőbe. A Beállítások módosítása lehetőséget az 1. ábrán látható párbeszédpanelen is kiválaszthatja. A Speciális lapon görgessen le a Beállítások panelen. Itt engedélyezheti vagy letilthatja a TLS-protokollokat.

Internetbeállítások ablak

5. ábra: Internettulajdonságok párbeszédpanel

A Csoportházirend Szerkesztő

A Csoportházirend Szerkesztő megnyitásához írja be a gpedit.msc kifejezést a tálcán lévő keresőmezőbe. Megjelenik egy ablak, mint a 6. ábrán látható. 

Csoportházirend-szerkesztő ablak

6. ábra: Csoportházirend Szerkesztő ablak

  1. Lépjen a Helyi számítógép-házirend > (számítógép konfigurációja vagy felhasználói konfiguráció) > AWindows-összetevők > a Windows-összetevők > az Internet Explorer > az Internet Vezérlőpult > Speciális lap > A titkosítás támogatásának kikapcsolása. Lásd: 7. ábra.

  2. Kattintson duplán a Titkosítási támogatás kikapcsolása elemre.

    A titkosítás támogatásának kikapcsolása a GPedit.msc-ben

    7. ábra: A titkosítás támogatásának kikapcsolása a Csoportházirend Editorban

  3. Válassza az Engedélyezve lehetőséget. Ezután a legördülő listából válassza ki az engedélyezni kívánt TLS-verziót a 8. ábrán látható módon.

    A titkosítás támogatásának kikapcsolása a különböző lehetőségeket megjelenítő legördülő menüvel

    8. ábra: A titkosítás támogatásának és legördülő listájának kikapcsolása

Miután engedélyezte a szabályzatot a Csoportházirend Szerkesztőben, az Internetbeállítások területen nem módosíthatja. Ha például az SSL3.0 és a TLS 1.0 használata lehetőséget választja, az internetbeállítások között minden más lehetőség nem lesz elérhető. Lásd: 9. ábra. Az Internetbeállítások egyik beállítását sem módosíthatja, ha engedélyezi a titkosítási támogatás kikapcsolása beállítást a Csoportházirend Szerkesztőben.

Internetbeállítások szürkített SSL- és TLS-beállításokkal

9. ábra: A nem elérhető SSL- és TLS-beállításokat megjelenítő internetbeállítások

A TLS 1.1-es vagy újabb verziójának engedélyezése (winhttp settings)

Lásd: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ben.

A beállításjegyzék fontos elérési útjai (wininet- és Internet Explorer-beállítások)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Itt található a SecureProtocols, amely a jelenleg engedélyezett protokollok értékét tárolja, ha a Csoportházirend Szerkesztőt használja.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Itt található a SecureProtocols, amely az internetbeállítások használata esetén az aktuálisan engedélyezett protokollok értékét tárolja.

  • Csoportházirend SecureProtocols elsőbbséget élvez az Internetbeállítások által beállítottval szemben.

Nem biztonságos TLS-tartalék engedélyezése

A fenti módosítások engedélyezik a TLS 1.0-t és a TLS 1.1-et. Azonban nem engedélyezik a TLS-tartalékot. A TLS-tartalék engedélyezéséhez az EnableInsecureTlsFallback értékét 1-re kell állítania a beállításjegyzékben az alábbi elérési utak alatt.

  • A beállítások módosítása: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Házirend beállítása: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Ha az EnableInsecureTlsFallback nincs jelen, akkor létre kell hoznia egy új DWORD bejegyzést, és 1-esre kell állítania.

A beállításjegyzék fontos elérési útjai

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Alapértelmezés szerint HAMIS. Ha nem nulla értéket állít be, az alkalmazások nem állíthatnak be egyéni protokollokat a winhttp beállítással.

  2. EnableInsecureTlsFallback 

    • A beállítások módosítása: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Házirend beállítása: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Alapértelmezés szerint HAMIS. A nem nulla érték beállítása lehetővé teszi, hogy az alkalmazások visszaeshessenek a nem biztonságos protokollok (TLS1.0 és 1.1) közé, ha a kézfogás biztonságos protokollokkal meghiúsul (tls1.2 vagy újabb).

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők