Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Dấu hiệu

Khi cố gắng kết nối, Transport Layer Security (TLS) có thể bị gián đoạn hoặc hết thời gian. Bạn cũng có thể gặp một hoặc nhiều lỗi sau:

  • "Yêu cầu đã bị hủy bỏ: Không thể tạo Kênh bảo mật SSL/TLS"

  • lỗi 0x8009030f

  • Một lỗi đã được ghi nhật ký trong Nhật ký Sự kiện Hệ thống cho sự kiện SCHANNEL 36887 với mã cảnh báo 20 và mô tả: "Đã nhận được một cảnh báo nghiêm trọng từ điểm cuối từ xa. Giao thức TLS đã xác định mã cảnh báo nghiêm trọng là 20.​"

Nguyên nhân

Do thực hiện biện pháp liên quan đến bảo mật cho CVE-2019-1318, tất cả các bản cập nhật cho các phiên bản Windows được hỗ trợ phát hành vào ngày 8 tháng 10 năm 2019 trở lên thực thi Extended Master Secret (EMS) để khôi phục như được định nghĩa trong RFC 7627. Kết nối với các thiết bị và HĐH của bên thứ ba không tuân thủ có thể gặp sự cố hoặc không thành công.

Các Bước Tiếp theo

Kết nối giữa hai thiết bị chạy bất kỳ phiên bản Windows được hỗ trợ nào sẽ không gặp sự cố này khi được cập nhật đầy đủ. Không có bản cập nhật cho Windows cần thiết để khắc phục sự cố này. Đây là những thay đổi cần thiết để giải quyết sự cố bảo mật và tuân thủ bảo mật.

Bất kỳ hệ điều hành, thiết bị hoặc dịch vụ của bên thứ ba nào không hỗ trợ khôi phục EMS đều có thể gặp sự cố liên quan đến kết nối TLS. Bạn nên liên hệ với người quản trị, nhà sản xuất hoặc nhà cung cấp dịch vụ của mình để nhận các bản cập nhật hỗ trợ đầy đủ khôi phục EMS như được xác định trong RFC 7627.

Lưu ý Microsoft không đề xuất việc tắt EMS. Nếu EMS rõ ràng đã bị tắt trước đó thì có thể được bật lại bằng cách đặt các giá trị khóa đăng ký sau:

HKLM\Hệ thống\CurrentControlSet\Control\SecurityProviders\Schannel

Trên Máy chủ TLS: DisableServerExtendedMasterSecret: 0 Trên Máy khách TLS: DisableClientExtendedMasterSecret: 0

Thông tin cao cấp dành cho người quản trị

1. Một thiết bị Windows đang tìm cách kết nối TLS (Transport Layer Security) với một thiết bị không hỗ trợ Extended Master Secret (EMS) khi các bộ mật mã TLS_DHE_* được xử lý đôi khi có thể không thành công khoảng 1 trên 256 lần thử. Để giảm thiểu sự cố này, hãy thực hiện một trong các giải pháp sau được liệt kê theo thứ tự ưu tiên:

  • Bật hỗ trợ cho các tiện ích bổ sung Extend Master Secret (EMS) khi thực hiện kết nối TLS trên cả hệ điều hành của máy khách và máy chủ.

  • Đối với các hệ điều hành không hỗ trợ EMS, hãy xóa bộ mật mã TLS_DHE_* khỏi danh sách bộ mật mã trong HĐH của thiết bị khách TLS. Để biết hướng dẫn về cách thực hiện việc này trên Windows, hãy xem Cài đặt ưu tiên Bộ Mật mã Schannel.

2. Các hệ điều hành chỉ gửi thông báo yêu cầu chứng chỉ trong quy trình trao đổi thông tin đầy đủ sau khi phôi phục không tuân thủ RFC 2246 (TLS 1.0) hoặc RFC 5246 (TLS 1.2) và sẽ khiến từng kết nối không thực hiện được. RFC không đảm bảo việc khôi phục thành công nhưng có thể được sử dụng theo quyết định của máy khách và máy chủ TLS. Nếu gặp phải sự cố này, bạn cần phải liên hệ với nhà sản xuất hoặc nhà cung cấp dịch vụ để nhận các bản cập nhật tuân thủ các tiêu chuẩn RFC.3. Máy chủ hoặc máy khách FTP không tuân thủ RFC 2246 (TLS 1.0) và RFC 5246 (TLS 1.2) có thể không chuyển được các tệp khi khôi phục hoặc trong quy trình trao đổi thông tin vắn tắt và sẽ khiến từng kết nối bị gián đoạn. Nếu gặp phải sự cố này, bạn cần phải liên hệ với nhà sản xuất hoặc nhà cung cấp dịch vụ để nhận các bản cập nhật tuân thủ các tiêu chuẩn RFC.

Bản cập nhật bị Ảnh hưởng

Mọi bản cập nhật tích lũy mới nhất (LCU) hoặc bản Tổng hợp Hàng tháng được phát hành vào ngày 8 tháng 10 năm 2019 trở lên dành cho các nền tảng bị ảnh hưởng có thể gặp sự cố này:

  • KB4517389 LCU dành cho Windows 10, phiên bản 1903.

  • KB4519338 LCU dành cho Windows 10, phiên bản 1809 và Windows Server 2019.

  • KB4520008 LCU dành cho Windows 10, phiên bản 1803.

  • KB4520004 LCU dành cho Windows 10, phiên bản 1709.

  • KB4520010 LCU dành cho Windows 10, phiên bản 1703.

  • KB4519998 LCU dành cho Windows 10, phiên bản 1607 và Windows Server 2016.

  • KB4520011 LCU dành cho Windows 10, phiên bản 1507.

  • KB4520005 Bản tổng hợp Hàng tháng dành cho Windows 8.1 và Windows Server 2012 R2.

  • KB4520007 Bản tổng hợp Hàng tháng dành cho Windows Server 2012.

  • KB4519976 Bản tổng hợp Hàng tháng dành cho Windows 7 SP1 và Windows Server 2008 R2 SP1.

  • KB4520002 Bản tổng hợp Hàng tháng dành cho Windows Server 2008 SP2

Bản cập nhật Dành riêng cho Bảo mật được phát hành vào ngày 8 tháng 10 năm 2019 sau đây cho các nền tảng bị ảnh hưởng có thể gặp sự cố này:

  • KB4519990 Bản cập nhật dành riêng cho Bảo mật dành cho Windows 8.1 và Windows Server 2012 R2.

  • KB4519985 Bản cập nhật dành riêng cho Bảo mật dành cho Windows Server 2012 và Windows Embedded 8 Standard.

  • KB4520003 Bản cập nhật dành riêng cho Bảo mật dành cho Windows 7 SP1 và Windows Server 2008 R2 SP1

  • KB4520009 Bản cập nhật dành riêng cho Bảo mật dành cho Windows Server 2008 SP2

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.