Защищенный канал SChannel (Secure Channel) включает ряд протоколов безопасности, которые обеспечивают зашифрованную аутентификацию и безопасную передачи данных. Однако в некоторых случаях не удается подключиться к определенным сайтам HTTPS через Internet Explorer, при этом в журнале событий видим, что от источника SChannel «получено следующее предупреждение о неустранимой ошибке: 40». Также в окне просмотра событий можем наблюдать сбой с кодом событии 36887 «неустранимое предупреждение 40», которое возникает после некоторых обновлений NVIDIA.

Содержание
- 1 Чем вызвана ошибка?
- 2 Удаление приложения GFE
- 3 Включение поддержки шифра RC4 в Internet Explorer
Чем вызвана ошибка?
Неустранимая ошибка возникает при установке безопасного соединения в случае, когда обнаружены несоответствия во время обмена рукопожатиями SSL/TLS. Как было указано, в установке безопасного соединения SChannel отказывают только определенные сайты. Проблема в основном возникает в Internet Explorer.
Кроме того, с неустранимой ошибкой 40 можно столкнуться в ходе обновления драйверов NVIDIA из приложения GeForce Experience.
Удаление приложения GFE
Ошибка может произойти в ходе автоматического обновления драйвера видеокарты NVIDIA через приложение GeForce Experience. По отзывам пользователей, им удалось ее устранить путем удаления GFE или обновлением до последней версии.
Если удалили приложение, попробуйте заново его установить и посмотрите, возвращается ли ошибка.
Откройте раздел «Программы и компоненты» командой appwiz.cpl, запущенной из окна «Выполнить» (Win + R).

Найдите в списке установленных программ GeForce Experience. Щелкните на ней правой кнопкой мыши и выберите «Удалить».

Следуйте инструкция на экране до завершения удаления.
Включение поддержки шифра RC4 в Internet Explorer
С неустранимой ошибкой SChannel с кодом 40 можно столкнуться при обращении к определенному сайту, когда у браузера отключена поддержка потокового шифра RC4, который используется в протоколах SSl и TSL. В этом случае нужно отключить политику алгоритмов FIPS, чтобы заставить работать RC4.
Откройте Редактор реестра командой regedit, запущенной из окна «Выполнить».

На левой панели перейдите по пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Найдите раздел FipsAlgorithmPolicy. Щелкните правой кнопкой мыши на параметр Enabled и выберите «Изменить». Измените его значение с 1 на 0.

Сохраните изменения, и перезагрузите компьютер.
- Remove From My Forums
-
Question
-
В журнале система уже 4 дня часто появляется данная ошибка:
Не сервер, компьютер домашний пк. Искал информацию, везде почти пишут что ошибка на сервере, поэтому я не понимаю.
«Получено следующее предупреждение о неустранимой ошибке: 40.»
Имя журнала: System Источник: Schannel Дата: 24.12.2016 4:41:58 Код события: 36887 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова: Пользователь: система Компьютер: Dima-1 Описание: Получено следующее предупреждение о неустранимой ошибке: 40. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" /> <EventID>36887</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2016-12-24T02:41:58.029296300Z" /> <EventRecordID>510195</EventRecordID> <Correlation /> <Execution ProcessID="676" ThreadID="1592" /> <Channel>System</Channel> <Computer>Dima-1</Computer> <Security UserID="S-1-5-18" /> </System> <EventData> <Data Name="AlertDesc">40</Data> </EventData> </Event>Появилась со вторника. В этот день была ошибка обновления MSE, обновление игр в steam и social club.
Проверял на вирусы, переустанавливал антивирус, отключал TSL в Internet Explorer, сбрасывал настройки IE.
Автозагрузка и службы без изменений. Не понимаю как и что произошло, откуда эта ошибка.
Ошибка появляется в логах уже сразу после старта системы, но если отключить кабель интернета, то ее нет.
За последние два месяца не было никаких установка обновлений/непроверенных программ/контактов с флешками.
Answers
-
Ошибка связана с Nvidia GeForce Experience, удаляем его и всё. В дальнейшем Nvidia наверное внесет исправление в программу, чтобы ошибка не возникала.
-
Proposed as answer by
Wednesday, December 28, 2016 6:29 AM
-
Marked as answer by
Anton Sashev Ivanov
Tuesday, January 3, 2017 8:17 AM
-
Proposed as answer by
C:Program FilesCrypto ProCSPcsptest.exe -tlsc -server blabla.bla -port 9903 -proto 4 -verbose -file /blabla/v2.0?wsdl -nosave -nocheck
12 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 1.2.840.113549.1.1.1 (RSA)
[8] 1.2.840.113549.1.9.16.3.5 (ESDH)
[9] 0xae06
[10] 1.2.840.10040.4.1 (DSA)
[11] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x80
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 113
Cipher Suites: (00 81) (00 2f) (00 35) (00 05) (00 0a) (c0 13) (c0 14) (c0 09) (c0 0a) (00 32) (00 38) (00 13) (00 04)
118 bytes of handshake data sent
6224 bytes of handshake data received
210 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Proto: 80, Suite: 81 (TLS_GOST_R_3410_01_WITH_28147_CNT_IMIT)
SECPKG_ATTR_NAMES: ОГРН=1106658022272, ИНН=006658374736, C=RU, S=66 Свердловская область, L=Екатеринбург, O=»МКУ «»Центр муниципальных услуг»»», STREET=»ул. Крауля, д. 61″, CN=blabla.bla
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package
Server certificate:
Subject: ОГРН=1106658022272, ИНН=006658374736, C=RU, S=66 Свердловская область, L=Екатеринбург, O=»МКУ «»blablabla»»», STREET=»ул. Крауля, д. 61″, CN=blabla.bla
Valid : 12.09.2017 05:44:50 — 12.09.2018 05:44:50 (UTC)
Issuer : ОГРН=1116672011334, STREET=»ул. Московская, д. 11, офис 113″, ИНН=006672340270, C=RU, L=Екатеринбург, S=66 Свердловская область, E=uralca@uralca.ru, O=»ЗАО «»УЦ Урала»»», CN=URAL CA QUALIFIED05
CA subject: ОГРН=1116672011334, STREET=»ул. Московская, д. 11, офис 113″, ИНН=006672340270, C=RU, L=Екатеринбург, S=66 Свердловская область, E=uralca@uralca.ru, O=»ЗАО «»УЦ Урала»»», CN=URAL CA QUALIFIED05
CA issuer : ИНН=007710474375, ОГРН=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
CA subject: ИНН=007710474375, ОГРН=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
CA issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET=»125375 г. Москва, ул. Тверская, д. 7″, O=Минкомсвязь России, ОГРН=1047702026701, ИНН=007710474375, CN=Головной удостоверяющий центр
Protocol: TLS 1.0
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 512
Header: 5, Trailer: 4, MaxMessage: 16379
HTTP request: GET /blabla/v2.0?wsdl HTTP/1.1
User-Agent: Webclient
Accept:*/*
blabla.blabla.bla
Connection: close
Sending plaintext: 118 bytes
127 bytes of application data sent
7538 bytes of (encrypted) application data received
Decrypted data: 7529 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 7529 bytes in 0.040 seconds;
Total: SYS: 0,047 sec USR: 0,000 sec UTC: 0,055 sec
[ErrorCode: 0x00000000]
Обновлено 20.06.2019

Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами научились ремонтировать ваше оборудование в операционных системах Windows, у которых был статус ошибки «Запуск этого устройства невозможен. (код 10)». Двигаемся дальше и мы рассмотрим ситуацию, когда у вас на компьютере или сервере в журналах событий, фиксируется ошибка «Schannel ID 36887: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40«. Мы рассмотрим на сколько критичны данные события и стоит ли на них обращать внимание.
Описание ошибки Schannel 3688
И так я проводил оптимизацию своей RDS фермы, кто не помнит, то в последнем посте я производил удаление неактивных портов TS. После после выполненной оптимизации я перезагрузил RDSH сервер и стал мониторить наличие новых и старых ошибок. Мое внимание привлекла ошибка из системного журнала логов Windows.
Ошибка «СИСТЕМА», Источник Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40.

Ошибка «СИСТЕМА», Источник Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 70.

Что такое Secure Channel
Schannel означает Secure Channel — библиотека, криптографический провайдер (Security Support Provider — SSP) — Защищенный канал, который содержит набор протоколов безопасности, которые обеспечивают зашифрованную идентификацию и безопасную связь. Пакет используется программным обеспечением, использующим встроенные SSL и TLS, в том числе IIS, Active Directory, OWA, Exchange, Internet Explorer и Центр обновления Windows.
Как избавиться от ошибки Schannel 36887
Для начала вам необходимо понять, что за процесс или приложение вызывает данную ошибку. Что мы делаем, открываем самое свежее оповещение и переходим на вкладку подробности, режим XML. Находим тут строку «<Execution ProcessID=»696« ThreadID=»26540« />«, как видим ошибку вызывает процесс с ID 696

Далее нам необходимо понять, что это за процесс, для этого откройте командную строку или окно PowerShell и введите команду:
tasklist /svc | findstr 696
В результате мы видим отфильтрованный вывод всех процессов у которых в ID встречается 696. Оказывается, что 696 ID имеет процесс lsass.exe, системный процесс Windows, но тут может быть и другой процесс, например, geforce experience, удалив который или обновив, вы избавитесь от ошибки 36887. Но в моем случае, это lsass.exe.

Я стал искать закономерности в работе данного сервера и мне удалось ее обнаружить. Теперь я точно определил, когда происходят эти события в Schannel. Они возникают только тогда, когда я пытаюсь получить безопасное подключение к интернет-банкингу службы одного конкретного банка. Они не возникают, когда я пытаюсь получить безопасное соединение с любым другим онлайн-сервисом. Похоже, что-то пошло не так во время обмена рукопожатиями SSL/TLS. В таком случае вы можете поступить двумя путями:
- Позвонить в банк и разобраться почему они не используют TLS 1.2
- Отключить в Internet Explorer использование TLS 1.2 и запретить в журналах Windows регистрацию событий «Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40«
Правильный метод
На время пока у вас идет общение с представителями клиент-банка, вы можете в реестре Windows запретить журналирование для данного события. Для этого откройте ветку:
HKLMSystemCurrentControlSetControlSecurityProvidersSCHANNEL
Найдите ключ EventLogging и выставите ему значение 0.
- 0 — не записывать в журнал
- 1 — записывать в журнал ошибок
- 2 — записывать в журнал предупреждений
- 3 — Журнал информационные и успешные события
После внесения ключа реестра, может потребоваться перезагрузка компьютера или сервера.

Более грубый метод
Чтобы отключить в системе появление событий Schannel ID 3688 вам необходимо открыть ваш браузер Internet Explorer 11 и перейти в раздел «Свойства браузера»

Далее идем на вкладку «Дополнительно», где выключаем пункт «Использовать TLS 1.2», что не совсем правильно с точки зрения безопасности. Перезапускаем браузер и пользуемся своим клиент-банком.

На этом у меня все, мы с вами рассмотрели причины и решения ошибки с кодом ID 3688. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
В качестве временного решения можно выключить логирование поставив 0 в
Код:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
Эти события возникают вследствие несовместимой версии браузера, когда человеки пытаются попасть в OWA.
Попробуй включить SSL 3.0, SSL 2.0, TLS 1.0 в
Код:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlSecurityProvidersSCHANNELProtocolsSSL 2.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlSecurityProvidersSCHANNELProtocolsSSL 3.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlSecurityProvidersSCHANNELProtocolsTLS 1.0
Как это сделать рассказано тут (ахтунг!! Англ Яз)
В качестве временного решения можно выключить логирование поставив 0 в
Код:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
Эти события возникают вследствие несовместимой версии браузера, когда человеки пытаются попасть в OWA.
Попробуй включить SSL 3.0, SSL 2.0, TLS 1.0 в
Код:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlSecurityProvidersSCHANNELProtocolsSSL 2.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlSecurityProvidersSCHANNELProtocolsSSL 3.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlSecurityProvidersSCHANNELProtocolsTLS 1.0
Как это сделать рассказано тут (ахтунг!! Англ Яз)
http://www.techieshelp.com/how-to-en…2008-sbs-2008/
- Remove From My Forums
schannel — EventID 36888 — fatal alert 40 — error state (1205,1207, etc)
-
Question
-
In response to the recent SSL 3.0 vulnerabilities, we have been locking down SSL settings on IIS servers. As a result (not surprisingly) we are seeing more schannel errors in the event log.
I understand that many of these are just «noise» and that schannel logging can be disabled via a registry setting, however we are wondering if the error codes will tell us which cypher they were attempting to use, so we can determine if our SSL
settings are acceptable, or too restrictive.I found a reference that describes what the fatal alert codes mean (i.e. 40 = TLS1_ALERT_HANDSHAKE_FAILURE) — but I cannot find a reference code for the internal error states (1203, 1205, 1207). Can anyone point me towards such a reference?
Alternatively, here is a sampling of the schannel errors — do any of them indicate a SSL configuration problem on the server side?
EVENT ID 36888
- The following fatal alert was generated: 40. The internal error state is 1207.
- The following fatal alert was generated: 40. The internal error state is 1205.
- The following fatal alert was generated: 10. The internal error state is 1203.
- The following fatal alert was generated: 20. The internal error state is 960.
EVENT ID 36874
- An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection
request has failed. - An TLS 1.1 connection request was received from a remote client application, but none of the cipher suites supported
by the client application are supported by the server. The SSL connection request has failed - An TLS 1.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection
request has failed. - An SSL connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection
request has failed.
EVENT ID 36887
- The following fatal alert was received: 46.
-
Edited by
Monday, October 27, 2014 2:46 PM
removed footer message
- Remove From My Forums
schannel — EventID 36888 — fatal alert 40 — error state (1205,1207, etc)
-
Question
-
In response to the recent SSL 3.0 vulnerabilities, we have been locking down SSL settings on IIS servers. As a result (not surprisingly) we are seeing more schannel errors in the event log.
I understand that many of these are just «noise» and that schannel logging can be disabled via a registry setting, however we are wondering if the error codes will tell us which cypher they were attempting to use, so we can determine if our SSL
settings are acceptable, or too restrictive.I found a reference that describes what the fatal alert codes mean (i.e. 40 = TLS1_ALERT_HANDSHAKE_FAILURE) — but I cannot find a reference code for the internal error states (1203, 1205, 1207). Can anyone point me towards such a reference?
Alternatively, here is a sampling of the schannel errors — do any of them indicate a SSL configuration problem on the server side?
EVENT ID 36888
- The following fatal alert was generated: 40. The internal error state is 1207.
- The following fatal alert was generated: 40. The internal error state is 1205.
- The following fatal alert was generated: 10. The internal error state is 1203.
- The following fatal alert was generated: 20. The internal error state is 960.
EVENT ID 36874
- An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection
request has failed. - An TLS 1.1 connection request was received from a remote client application, but none of the cipher suites supported
by the client application are supported by the server. The SSL connection request has failed - An TLS 1.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection
request has failed. - An SSL connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection
request has failed.
EVENT ID 36887
- The following fatal alert was received: 46.
-
Edited by
Monday, October 27, 2014 2:46 PM
removed footer message