HƯỚNG DẪN CẤU HÌNH TLS1.2 XỬ LÝ LỖI OUTLOOK TRÊN WINDOWS 7

1. Lý do

  • TLS là viết tắt của Transport Layer Security. Đây là một dạng giao thức bảo mật (Security Protocol) cung cấp mức độ riêng tư cao, cũng như tính toàn vẹn của dữ liệu khi giao tiếp bằng mạng và Internet
  • Thông tin công bố lỗ hổng bảo mật tồn tại trong giao thức Transport Layer Security và giao thức Secure Socket Layer (TLS/SSL) khi thực hiện trong phần mã hóa của Microsoft .NET Framework. Kẻ tấn công đã thành công khai thác lỗ hổng này có thể giải mã được mã hoá TLS/SSL lưu lượng.
  • Hệ thống Microsoft Exchange Server sử dụng TLS/SSL nên có lỗ hổng bảo mật liên quan TLS1.0, TLS1.1 cần phải tắt.
  • Hệ thống máy chủ đã cấu hình TLS1.2, nên tất cả máy trạm phải buộc enable, Máy trạm sẽ bị lỗi kết nối Outlook nếu chưa cấu hình enable TLS1.2 dành cho Windows 7
Windows OSTLS1.0/1.1TLS1.2TLS1.3
Windows Server 2012EnableDefaultNull
Windows Server 2012R2EnableDefaultNull
Windows Server 2016EnableDefaultNull
Windows Server 2019EnableDefaultNull
Windows Server 2022EnableDefaultDefault
Windows 7EnableDisableNull
Windows 10EnableDefaultNull
Windows 11EnableDefaultDefault

2. Mô tả lỗi

Khi setup mới sẽ báo unencrypt còn máy đang sử dụng sẽ báo disconnect trên Windows 7 khi dùng Outlook. Do Windows 7 không mặc định bật TLS1.2

3. Phạm Vi Ảnh hưởng

  • Tất cả máy trạm Windows 7 chưa bật TLS1.2.
  • Microsoft Outlook 2010, 2013, 2016
  • Windows 10, 11 không ảnh hưởng nên khuyến cáo cần nâng cấp mới máy tính trạm để giải đáp ứng tính bảo mật và tương thích của hệ thống từ máy trạm đến máy chủ Exchange.

4. Hướng dẫn xử lý

4.1. Yêu cầu bắt buộc

Bật Windows Update Windows 7, Link tả bản vá nếu chạy Windows 7 bị lỗi update (80072EFE)

            Link tải https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138612 tùy theo phiên bản 32bit hoặc 64 bit chọn download và cài đặt reset.

Dự phòng thêm link Windows 7- KB3138612 32bit x86 tại đây

Dự phòng thêm link Windows 7 KB3138612 64bit x64 tại đây

  • Cài đặt update bản vá KB3140245 để sử dụng hỗ trợ TLS tùy theo phiên bản chọn download và cài đặt reset.

https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245

Khởi động lại máy tính

Lưu ý nếu các bước yêu cầu trên đã đáp ứng thì thực hiện tiếp các bước tiếp theo.

5. CÁCH 1: TẠO THANH GHI (REGESTRY) HỖ TRỢ WINHTTP VÀ TLS

5.1.Tạo DefaultSecureProtocols cho WinHTTP

Vào Start -> Run-> gỏ lệnh regedit-> Run as Administrator

Tìm đến đường dẫn sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Nếu Windows 7 x64bit

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Tạo Giá trị DefaultSecureProtocols

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

“DefaultSecureProtocols”=dword:00000a00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

“DefaultSecureProtocols”=dword:00000a00

5.2.TẠO CÁC THANH GHI SCHANNEL HỖ TRỢ TLS 1.2

Đường dẫn thanh ghi Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

Nếu chưa có tạo new->key và đổi tên là TLS1.2

Tạo tiếp key -> New key, đổi tên new key -> Client

Chọn key Client-> Nhập phải chuột Tạo DWORD Value (32-bit) name: DisabledByDefault và cho giá trị là 0 ở mục Hexa.

Chọn key Client-> Nhập phải chuột Tạo DWORD Value (32-bit) name: Enable
DWORD value: 1

Link script tại đây

6. CÁCH 2: CÓ THỂ CHẠY SCRIPTS BẰNG POWERSHELL

Link 1 tải tại đây

Link 2 dự phòng

Set-ExecutionPolicy Bypass -Scope Process ; .\install-kb.ps1
Set-ExecutionPolicy Bypass -Scope Process ; .\tls-reg-edit.ps1

REBOOT Windows 7 kiểm tra lại

7. CÁCH 3: CHẠY FILE Easyfix

Link 1 tải tại đây

Link 2 dự phòng

8. CÁCH 4 CHẠY ỨNG DỤNG IIS CRYTO

Link download tải tại đây

Link 2 dự phòng

Chọn vào TLS1.2 Server và Client

9. KIỂM TRA CHẠY LẠI OUTLOOK

Lưu ý quan trọng nếu thực hiện 1 trong các cách trên đã thành công thì không cần thực hiện hết cách nếu đã giải quyết được.

10. LỜI KẾT KHUYẾN CÁO TỪ IT

Trên đây là lỗi rất bảo mật rất nghiêm trọng liên quan đến TLS1.0, TLS1.1, SSL3.0, Dữ liệu người dùng có thể bị tấn công và bị mất dữ liệu thông qua lỗ hổng này. IT chỉ hỗ trợ giải quyết 1 phần liên quan đến lỗ hổng này. Cần có phương án nâng cấp máy tính và setup hệ thống mới nhất để tránh mất dữ liệu và tấn công mã hóa.

Thông tin từ hãng Microsoft:

Phương Nguyễn Viết. Vui lòng ghi rõ nguồn gốc khi copy

Recommended Posts