1. Lý do
- TLS là viết tắt của Transport Layer Security. Đây là một dạng giao thức bảo mật (Security Protocol) cung cấp mức độ riêng tư cao, cũng như tính toàn vẹn của dữ liệu khi giao tiếp bằng mạng và Internet
- Thông tin công bố lỗ hổng bảo mật tồn tại trong giao thức Transport Layer Security và giao thức Secure Socket Layer (TLS/SSL) khi thực hiện trong phần mã hóa của Microsoft .NET Framework. Kẻ tấn công đã thành công khai thác lỗ hổng này có thể giải mã được mã hoá TLS/SSL lưu lượng.
- Hệ thống Microsoft Exchange Server sử dụng TLS/SSL nên có lỗ hổng bảo mật liên quan TLS1.0, TLS1.1 cần phải tắt.
- Hệ thống máy chủ đã cấu hình TLS1.2, nên tất cả máy trạm phải buộc enable, Máy trạm sẽ bị lỗi kết nối Outlook nếu chưa cấu hình enable TLS1.2 dành cho Windows 7
2. Mô tả lỗi
Khi setup mới sẽ báo unencrypt còn máy đang sử dụng sẽ báo disconnect trên Windows 7 khi dùng Outlook. Do Windows 7 không mặc định bật TLS1.2
3. Phạm Vi Ảnh hưởng
- Tất cả máy trạm Windows 7 chưa bật TLS1.2.
- Microsoft Outlook 2010, 2013, 2016
- Windows 10, 11 không ảnh hưởng nên khuyến cáo cần nâng cấp mới máy tính trạm để giải đáp ứng tính bảo mật và tương thích của hệ thống từ máy trạm đến máy chủ Exchange.
4. Hướng dẫn xử lý
4.1. Yêu cầu bắt buộc
- Yêu cầu Windows Pro 7 SP1, Link tải Update Windows 7 SP1, nếu là Windows 7 SP1 bỏ qua bước này.
Bật Windows Update Windows 7, Link tả bản vá nếu chạy Windows 7 bị lỗi update (80072EFE)
Link tải https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138612 tùy theo phiên bản 32bit hoặc 64 bit chọn download và cài đặt reset.
Dự phòng thêm link Windows 7- KB3138612 32bit x86 tại đây
Dự phòng thêm link Windows 7 KB3138612 64bit x64 tại đây
- Cài đặt update bản vá KB3140245 để sử dụng hỗ trợ TLS tùy theo phiên bản chọn download và cài đặt reset.
https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245
Khởi động lại máy tính
Lưu ý nếu các bước yêu cầu trên đã đáp ứng thì thực hiện tiếp các bước tiếp theo.
5. CÁCH 1: TẠO THANH GHI (REGESTRY) HỖ TRỢ WINHTTP VÀ TLS
5.1.Tạo DefaultSecureProtocols cho WinHTTP
Vào Start -> Run-> gỏ lệnh regedit-> Run as Administrator
Tìm đến đường dẫn sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Nếu Windows 7 x64bit
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Tạo Giá trị DefaultSecureProtocols
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
“DefaultSecureProtocols”=dword:00000a00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
“DefaultSecureProtocols”=dword:00000a00
5.2.TẠO CÁC THANH GHI SCHANNEL HỖ TRỢ TLS 1.2
Đường dẫn thanh ghi Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Nếu chưa có tạo new->key và đổi tên là TLS1.2
Tạo tiếp key -> New key, đổi tên new key -> Client
Chọn key Client-> Nhập phải chuột Tạo DWORD Value (32-bit) name: DisabledByDefault và cho giá trị là 0 ở mục Hexa.
Chọn key Client-> Nhập phải chuột Tạo DWORD Value (32-bit) name: Enable
DWORD value: 1
Link script tại đây
6. CÁCH 2: CÓ THỂ CHẠY SCRIPTS BẰNG POWERSHELL
Link 1 tải tại đây
Link 2 dự phòng
Set-ExecutionPolicy Bypass -Scope Process ; .\install-kb.ps1
Set-ExecutionPolicy Bypass -Scope Process ; .\tls-reg-edit.ps1
REBOOT Windows 7 kiểm tra lại
7. CÁCH 3: CHẠY FILE Easyfix
Link 1 tải tại đây
Link 2 dự phòng
8. CÁCH 4 CHẠY ỨNG DỤNG IIS CRYTO
Link download tải tại đây
Link 2 dự phòng
Chọn vào TLS1.2 Server và Client
9. KIỂM TRA CHẠY LẠI OUTLOOK
Lưu ý quan trọng nếu thực hiện 1 trong các cách trên đã thành công thì không cần thực hiện hết cách nếu đã giải quyết được.
10. LỜI KẾT KHUYẾN CÁO TỪ IT
Trên đây là lỗi rất bảo mật rất nghiêm trọng liên quan đến TLS1.0, TLS1.1, SSL3.0, Dữ liệu người dùng có thể bị tấn công và bị mất dữ liệu thông qua lỗ hổng này. IT chỉ hỗ trợ giải quyết 1 phần liên quan đến lỗ hổng này. Cần có phương án nâng cấp máy tính và setup hệ thống mới nhất để tránh mất dữ liệu và tấn công mã hóa.
Yêu cầu hệ thống để sử dụng Email
- Tất cả người dùng cần cập nhật nâng cấp phần cứng máy tính đối với máy trạm và server
- Cài đặt hệ điều hành Microsoft Windows 10, 11 trở lên, Phiên bản trình duyệt client email hỗ trợ cho TLS1.2, TLS1.3
- Trường hợp không sử dụng được Outlook trên máy tính, IT khuyến cáo người dùng sử dụng email qua webmail địa chỉ https://mail.vfc.com.vn để giải quyết.
Mọi thông tin liên hệ bộ phận IT lưu hành nội bộ.
11.THÔNG TIN HỖ TRỢ
Trong trường hợp không thực hiện được liên hệ zalo/viber/whatsapp Bộ phận IT để hỗ trợ. Với lưu ý đã đọc và làm theo các bước hướng dẫn của IT.
- Tài liệu lưu hành nội bộ được viết bởi Bộ Phận IT VFC.
- Liên hệ hỗ trợ
- Nguyễn Văn Phương
- CV IT Quản trị hệ thống
- Số điện thoại zalo/whatsapp/viber: 0989 800 897
- Email: support@vfc.vn/phuong.nguyenvan@vfc.com.vn
Thông tin tham khảo:
Thông tin từ hãng Microsoft:
- https://support.microsoft.com/en-us/topic/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-winhttp-in-windows-c4bd73d2-31d7-761e-0178-11268bb10392
- https://www.nartac.com/Products/IISCrypto/Download
- https://download.microsoft.com/download/0/6/5/0658B1A7-6D2E-474F-BC2C-D69E5B9E9A68/MicrosoftEasyFix51044.msi
- https://kb.pavietnam.vn/huong-dan-enable-giao-thuc-tls-1-2.html
- https://www.papaki.com/support/kb/article/how-can-i-enable-tls-v12-in-outlook-on-windows-7-2206.html
Phương Nguyễn Viết. Vui lòng ghi rõ nguồn gốc khi copy