网站建设前言深圳seo优化seo优化
一、问题描述
windows主机经基线加固处理后,重启主机再次mstsc远程连接时,报:内部错误,如下所示:
客户端侧报10013,服务器侧报10010;
二、分析处理
1、因现场环境是云主机,因此,我们需要首先通过移动云平台登录云主机,检查远程连接服务是否正常,端口是否正常;检查Remote Desktop Configuration(依存服务Workstation),Remote Desktop Services,Remote Desktop Services UserMode Port Redirector这些服务,检查是否启动正常;检查服务器的密码是否存在错误;检查是否安全软件配置修改,版本升级导致;
2、如果怀疑网络异常,可执行netsh winsock reset,重置网络(重置socket)后重启,尝试,现场验证无果。netsh int ip reset重新配置网络;
3、组策略编辑器(gpedit.msc)->管理模板->windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层,更改为“已启用”,下方安全层选择“RDP”。确定后,重启RDP服务,或者直接重启主机。----》跳过身份验证登录,现场验证未果。
4、问询/会议重启之前可能的配置,还原本地安全组策略相关配置项,尝试;现场因重启距离配置时间过长,无法准确确定修改项。
5、执行eventvwr.exe打开事件台,检查报错,可看到服务器测有报错:创建TLS客户端凭据时发生严重错误,内部错误状态为10010,如下所示:
6、、使用mstsc替代程序尝试替换:软件下载,该版本是20年前的mstsc,默认不走加密协议;
7、对比正常主机配置项,排除法消除怀疑项,尝试;
注:客户端检测上述注册表项,删除Default下,目标服务器的IP地址尝试。现场验证未果。
8、重新重新注册系统组件,执行如下命令,完成后重启尝试
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
9、组策略修改,gpedit.msc,【管理模板】—【网络】找到ssl配置设置,双击ssl密码套件顺序,现场已启用,检查对应证书配置,发现未配置,后来恢复后,重新登录系统后,重新配置证书,如下所示:
注: 上图中密码套件分隔符有误,请用逗号替换。
注: 更多参看SSL/TLS协议信息泄露漏洞处理。
注:也可使用Windows自带的FIPS代替SSL加密,管理工具->本地安全策略->安全设置->本地策略->安全选项->找到“系统加密:将FIPS兼容算法用于加密、哈希和签名”选项->右键“属性”->在“本地安全设置”下,选择“已启用(E)”;
对于 Schannel 安全服务提供程序(SSP),此安全设置禁用较弱的安全套接字层(SSL)协议,并仅支持传输层安全性**(TLS**)协议作为客户端以及作为服务器(如果适用)。如果启用此设置,传输层安全性/安全套接字层(TLS/SSL)安全提供程序将仅使用 FIPS 140 批准的加密算法: 3DES(不安全) 和 AES 用于加密、RSA 或 ECC 公钥加密用于 TLS 密钥交换和身份验证,而安全哈希算法(SHA1、SHA256、SHA384 和 SHA512)仅用于满足 TLS 哈希要求。
对于加密文件系统服务(EFS),它支持三重数据加密标准(DES)和高级加密标准(AES)加密算法来加密 NTFS 文件系统支持的文件数据。默认情况下,EFS 在 Windows Server 2003 和 Windows Vista 系列中使用带 256 位密钥的高级加密标准(AES)算法而在 Windows XP 中使用 DESX 算法来加密文件数据。对于远程桌面服务,它仅支持使用三重 DES 加密算法来加密远程桌面服务网络通信。因此整体来说并不安全。
10、最小化启动尝试,msconfig打开系统配置,单击服务----勾选下面的“隐藏所有 Microsoft 服务”--------点击“全部禁用”。
11、如果怀疑服务器系统文件部分损坏,执行sfc /scannow检查文件系统,它会扫描所有受保护的系统文件,并用位于 %WinDir%\System32\dllcache 的压缩文件夹中的缓存副本替换损坏的文件。相关修复信息可在%WinDir%\Logs\CBS\CBS.log日志中看到;
Dism /Online /Cleanup-Image /CheckHealthDism /Online /Cleanup-Image /ScanHealthDism /Online /Cleanup-Image /RestoreHealthsfc /scannow
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"
筛选出系统文件检查器进程检查情况的信息。当你确定哪个系统文件已损坏且无法通过 Sfcdetails.txt 文件中的详细信息修复之后,查找损坏文件所在的位置,然后手动将损坏的文件替换为已知完好的文件副本。 从与你的计算机运行相同版本的 Windows 的另一台计算机获取系统文件的已知完好副本。
1、takeown /f Path_And_File_Name //获得损坏的系统文件的管理所有权。 Path_And_File_Name 占位符代表损坏文件的路径和文件名
2、 icacls Path_And_File_Name //授予管理员完全访问损坏的系统文件的权限
3、 copy E:\temp\完好副本 C:\windows\system32\损坏文件 //将损坏的系统文件替换为已知完好的文件副本
三、结论
综上,本次故障为SSL配置认证后,证书问题或客户端和服务端加密算法不一致所致,可借助IIS Crypto工具完成,如下所示:
脚本参考:
# Copyright 2016, Alexander Hass# http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12## Version 1.7# - Windows Version compare failed. Get-CimInstance requires Windows 2012 or later.# Version 1.6# - OS version detection for cipher suites order.# Version 1.5# - Enabled ECDH and more secure hash functions and reorderd cipher list.# - Added Client setting for all ciphers.# Version 1.4# - RC4 has been disabled.# Version 1.3# - MD5 has been disabled.# Version 1.2# - Re-factored code style and output# Version 1.1# - SSLv3 has been disabled. (Poodle attack protection)Write-Host 'Configuring IIS with SSL/TLS Deployment Best Practices...'Write-Host '--------------------------------------------------------------------------------'# Disable Multi-Protocol Unified HelloNew-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -Force | Out-NullNew-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -name Enabled -value 0 -PropertyType 'DWord' -Force | Out-NullNew-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-NullNew-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client' -Force | Out-NullNew-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client' -name Enabled -value 0 -PropertyType 'DWord' -Force | Out-NullNew-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client' -name 'DisabledByDefault' -value 1 -PropertyType