none
Schannel 36887 46 lsass.exe RRS feed

  • Allgemeine Diskussion

  • Hallo Leute,

    wir haben momentan einen Schannel-Fehler im Ereignislog, der unser Log explodieren lässt, da er mehrfach in der Sekunde auftritt.

    Server:

    Windows Server 2008 R2 (Updates aktuell)

    Exchange 2010 installiert (Updates aktuell)


    Protokollname: System
    Quelle:        Schannel
    Datum:         12.07.2019 09:26:20
    Ereignis-ID:   36887
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:
    Benutzer:      SYSTEM
    Computer:      ##########
    Beschreibung:
    Es wurde eine schwerwiegende Warnung empfangen: 46.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
        <EventID>36887</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2019-07-12T07:26:20.886265300Z" />
        <EventRecordID>20630590</EventRecordID>
        <Correlation />
        <Execution ProcessID="704" ThreadID="4524" />
        <Channel>System</Channel>
        <Computer>##########</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="AlertDesc">46</Data>
      </EventData>
    </Event>

    Der Prozess ist lsass.exe und hier habe ich gleich einen Auszug aus dem procmon:

    08:20:14,2880004	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\8F43288AD272F3103B6FB1428485EA3014C0BCFE\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2880111	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\8F43288AD272F3103B6FB1428485EA3014C0BCFE\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2880209	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\8F43288AD272F3103B6FB1428485EA3014C0BCFE\Blob	SUCCESS	Type: REG_BINARY, Length: 1.833, Data: 59 00 00 00 01 00 00 00 16 00 00 00 52 00 53 00
    08:20:14,2880345	lsass.exe	704	RegCloseKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\8F43288AD272F3103B6FB1428485EA3014C0BCFE	SUCCESS	
    08:20:14,2880535	lsass.exe	704	RegEnumKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Index: 13, Name: 9617094A1CFB59AE7C1F7DFDB6739E4E7C40508F
    08:20:14,2880656	lsass.exe	704	RegQueryKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Query: HandleTags, HandleTags: 0x0
    08:20:14,2880914	lsass.exe	704	RegOpenKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\9617094A1CFB59AE7C1F7DFDB6739E4E7C40508F	SUCCESS	Desired Access: Read
    08:20:14,2881144	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\9617094A1CFB59AE7C1F7DFDB6739E4E7C40508F\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2881373	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\9617094A1CFB59AE7C1F7DFDB6739E4E7C40508F\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2881486	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\9617094A1CFB59AE7C1F7DFDB6739E4E7C40508F\Blob	SUCCESS	Type: REG_BINARY, Length: 1.286, Data: 19 00 00 00 01 00 00 00 10 00 00 00 54 78 18 7B
    08:20:14,2881741	lsass.exe	704	RegCloseKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\9617094A1CFB59AE7C1F7DFDB6739E4E7C40508F	SUCCESS	
    08:20:14,2882050	lsass.exe	704	RegEnumKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Index: 14, Name: 98ED99A67886D020C564923B7DF25E9AC019DF26
    08:20:14,2882189	lsass.exe	704	RegQueryKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Query: HandleTags, HandleTags: 0x0
    08:20:14,2882309	lsass.exe	704	RegOpenKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98ED99A67886D020C564923B7DF25E9AC019DF26	SUCCESS	Desired Access: Read
    08:20:14,2882451	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98ED99A67886D020C564923B7DF25E9AC019DF26\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2882584	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98ED99A67886D020C564923B7DF25E9AC019DF26\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2882685	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98ED99A67886D020C564923B7DF25E9AC019DF26\Blob	SUCCESS	Type: REG_BINARY, Length: 1.401, Data: 19 00 00 00 01 00 00 00 10 00 00 00 21 23 A9 CE
    08:20:14,2882804	lsass.exe	704	RegCloseKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98ED99A67886D020C564923B7DF25E9AC019DF26	SUCCESS	
    08:20:14,2883009	lsass.exe	704	RegEnumKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Index: 15, Name: A1DC024FC8B2A76745D4661F663B8741C3D35313
    08:20:14,2883120	lsass.exe	704	RegQueryKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Query: HandleTags, HandleTags: 0x0
    08:20:14,2883264	lsass.exe	704	RegOpenKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A1DC024FC8B2A76745D4661F663B8741C3D35313	SUCCESS	Desired Access: Read
    08:20:14,2883390	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A1DC024FC8B2A76745D4661F663B8741C3D35313\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2883520	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A1DC024FC8B2A76745D4661F663B8741C3D35313\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2883622	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A1DC024FC8B2A76745D4661F663B8741C3D35313\Blob	SUCCESS	Type: REG_BINARY, Length: 1.321, Data: 19 00 00 00 01 00 00 00 10 00 00 00 FC E8 9E 67
    08:20:14,2883762	lsass.exe	704	RegCloseKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A1DC024FC8B2A76745D4661F663B8741C3D35313	SUCCESS	
    08:20:14,2883942	lsass.exe	704	RegEnumKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Index: 16, Name: A43489159A520F0D93D032CCAF37E7FE20A8B419
    08:20:14,2884054	lsass.exe	704	RegQueryKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Query: HandleTags, HandleTags: 0x0
    08:20:14,2884173	lsass.exe	704	RegOpenKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419	SUCCESS	Desired Access: Read
    08:20:14,2884325	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2884453	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2884578	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419\Blob	SUCCESS	Type: REG_BINARY, Length: 1.312, Data: 59 00 00 00 01 00 00 00 10 00 00 00 52 00 53 00
    08:20:14,2884806	lsass.exe	704	RegCloseKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419	SUCCESS	
    08:20:14,2885102	lsass.exe	704	RegEnumKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Index: 17, Name: BE36A4562FB2EE05DBB3D32323ADF445084ED656
    08:20:14,2885229	lsass.exe	704	RegQueryKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates	SUCCESS	Query: HandleTags, HandleTags: 0x0
    08:20:14,2885361	lsass.exe	704	RegOpenKey	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\BE36A4562FB2EE05DBB3D32323ADF445084ED656	SUCCESS	Desired Access: Read
    08:20:14,2885481	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\BE36A4562FB2EE05DBB3D32323ADF445084ED656\Blob	BUFFER OVERFLOW	Length: 144
    08:20:14,2885605	lsass.exe	704	RegQueryValue	HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\BE36A4562FB2EE05DBB3D32323ADF445084ED656\Blob	BUFFER OVERFLOW	Length: 144
    

    Ich vermute, dass dieser Buffer Overflow den Fehler verursacht, bin mir aber auch nicht sicher.

    Die Hardwareauslastung ist nicht höher als sonst. 

    Ich freue mich auf eure Tipps.

    Grüße Turbomaik

    Freitag, 12. Juli 2019 07:36

Alle Antworten

  • Moin,

    Code 46 ist natürlich "unspecified error", daher dürfte Deine Vermutung zutreffen, ohne dass es einen Anhaltspunkt zur Diagnose liefert ;-)

    Kannst Du die Zertifikate im Root-Store per certlm.msc ohne größere Verzögerungen aufmachen?

    Fischen im Trüben, aber: Ist im Root-Store ggfls. ein Zertifikat vorhanden, das nicht durch sich selbst signiert ist (und somit keine Root CA)? Falls ja, entferne das mal und schau, ob es besser wird. Musst aber vermutlich rebooten.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 12. Juli 2019 08:01
  • Moin zurück,

    wenn ich certlm.msc ausführe bekomme ich eine Fehlermeldung, dass "certlm.msc" konnte nicht gefunden werden.
    Ich habe aber die Zertifikate über die mmc geöffnet und da funktioniert es ohne Probleme.
    Wenn ich in die Registry schaue sehe ich 20 Zertifikate, wo Buffer Overflow steht und das sind alle die unter Vertrauenswürdige Stammzertifizierungsstellen->Registrierung->Zertifikate stehen.
    Einige sind davon abgelaufen und andere nicht.

    Meinst du bei "durch sich selbst signiert" wenn bei Ausgestellt für und Ausgestellt von das Gleiche stehen muss?

    Danke und Gruß


    Freitag, 12. Juli 2019 10:03
  • Aus dunkler Erinnerung: Der Buffer Overflow ist normal. Der erste Read erfolgt mit einem Buffer von 0 und liefert dann die erforderliche Buffergröße zurück, die dann mitgegeben werden kann.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Freitag, 12. Juli 2019 13:49