Alerta de janelas fatais por hora

tag-icon tag-icon windows ssl windows-server-2012-r2 windows-event-log eventviewer
Alerta de janelas fatais por hora

Em um dos meus servidores Windows 2012 R2 (em atualização), meu registrador de eventos foi preenchido com

  • ID do evento 36887 A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.com origemSchannel

Ocorre aproximadamente a cada hora (+/- dezenas de segundos) e registrado pela primeira vez em 10/11/2022 às 13h. A última atualização do Windows ocorreu em 09/11/2022.

Está aparecendo em Logs do Windows > Sistema.

Também notei erros semelhantes em 08/11/2022

  • Evento 36882 The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The SSL connection request has failed. The attached data contains the server certificate.com FonteSchannel

  • Evento 36888 A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 48. The Windows SChannel error state is 552.com FonteSchannel

Outro padrão observado alguns segundos antes de cada ID de evento 36887seria

  • Evento 7036 The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.da origemService Control Manager

Tentei parar e iniciar o WinHTTP e quaisquer serviços dependentes para ver se consigo reproduzir o erro, mas sem sucesso. Também usei o Wireshark para monitorar conexões durante o tempo de falha. A correspondência mais próxima que encontrei foi 20.121.85.115 (um IP da Microsoft) com alerta fatal (falha no handshake).

Acredito que algum serviço do Windows por hora esteja chamando algum IP da Microsoft com um certificado SSL inválido. Eu simplesmente não consigo dizer o quê.

Alguma idéia de como resolver esse erro?

Responder1

Você pode obter mais informações sobre certificados não confiáveis ​​habilitando o log CAPI. O log está desabilitado por padrão e você pode clicar com o botão direito nele para habilitá-lo.

Aplicativos e Serviços/Microsoft/Windows/CAPI2/Operacional

Geralmente terá o nome do titular do certificado e a impressão digital. Uma amostra está abaixo.

Pode ser possível que um certificado emitido por uma CA da Microsoft mais recente seja usado e seu host não tenha os certificados de CA raiz ou intermediário atualizados instalados.

O Windows tenta baixar certificados novos ou atualizados automaticamente. Se isso estiver desativado (Desativar atualização automática de certificados raiz) ou o acesso estiver bloqueado, pode ser necessário baixar os certificados e colocá-los em um compartilhamento para atualização automática.

Configurar raízes confiáveis ​​e certificados não permitidos
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265983(v=ws.11)

Certutil pode ser usado para baixar os certificados para preencher um compartilhamento de rede para distribuição por Política de Grupo.

Certutil -syncWithWU \\Server1\CTL

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
    <EventID>30</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>30</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000001</Keywords>
    <TimeCreated SystemTime="2022-11-18T14:15:15.4126330Z" />
    <EventRecordID>26</EventRecordID>
    <Correlation ActivityID="{bfcbf0f2-f4ee-0002-66f1-cbbfeef4d801}" />
    <Execution ProcessID="636" ThreadID="14532" />
    <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
    <Computer>XXX</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <UserData>
    <CertVerifyCertificateChainPolicy>
      <Policy type="CERT_CHAIN_POLICY_MICROSOFT_ROOT" constant="7" />
      <Certificate fileRef="AD81722A9E0E6394748343D025887D9285AE95D9.cer" subjectName="cxcs.microsoft.net" />
      <CertificateChain chainRef="{73D8FB26-4CD0-4E8D-BBCE-1095FA7EC749}" />
      <Flags value="0" />
      <Status chainIndex="0" elementIndex="2" />
      <EventAuxInfo ProcessName="lsass.exe" />
      <CorrelationAuxInfo TaskId="{D6FE4576-970E-4588-B77A-718E2027EFF0}" SeqNumber="1" />
      <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
    </CertVerifyCertificateChainPolicy>
  </UserData>
</Event>

informação relacionada