在我们网络的某个地方,一个 ldap 客户端在没有正确的 CA 信息的情况下查询我们的 AD 服务器。这会在域控制器的事件日志上引发(在我看来无用)系统关键(来源:schannel)事件 ID 36887:
收到以下致命警报:46。
如何找到配置错误的客户端?
我最近了解到,在 11 月发布补丁KB2992611之后,Microsoft 为 schannel(以及 IIS)提供了四个新的密码套件;
我也知道此补丁和上述四种密码存在问题,导致补丁被临时拉取,并且默认情况下上述密码套件处于禁用状态。
我的问题有两个方面;
在以下两个选项中,哪一个被认为是“最好的”;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
换句话说,第二个选项 (ECDHE_RSA) 的黄道曲线元素是否被第一个提供的高级版 AES (AES_GCM) 所抵消?
最后,这里的建议在 2008 R2、2012 和 2012 R2 之间有什么不同吗?
在 Windows Server 2012 R2 下的服务器管理器中查看事件时,我有很多 schannel 错误消息,上面写着“生成了致命警报并将其发送到远程端点。这可能会导致连接终止。TLS 协议定义了致命错误代码是 10。Windows SChannel 错误状态是 1203。” 一些站点建议将“允许本地激活安全检查豁免”作为解决方案。虽然这可能会减少事件列表中的错误消息数量,但我对允许这些豁免所引入的实际安全风险感兴趣。
通过阅读这篇文章,我的理解是:
https://technet.microsoft.com/en-gb/library/dn786418.aspx#BKMK_SchannelTR_TLS12
默认情况下,Windows Server 2012 R2 上应启用注册表中的 TLS 1.2。
但是,检查我们的网络服务器上的注册表,缺少这个键?
我将 AWS EC2 盒与 vanilla Windows Server 2012 R2 AMI 一起使用。
任何帮助将不胜感激。