本人使用Win11預(yù)覽版系統(tǒng),最近幾天頻繁出現(xiàn)綠屏,錯誤代碼:CRITICAL-PROCESS-DIED
在bing搜索“Win11綠屏問題,錯誤代碼:CRITICAL-PROCESS-DIED”,得到一條有用線索:可打開【事件查看器】-【W(wǎng)indows日志】-【系統(tǒng)】查看錯誤原因。
發(fā)現(xiàn)綠屏?xí)r的錯誤提示是:“創(chuàng)建 TLS 客戶端 憑據(jù)時出現(xiàn)嚴(yán)重錯誤。內(nèi)部錯誤狀態(tài)為 10013。 ”
在bing搜索以上錯誤信息,看到微軟官方社區(qū)的解答,照著做了一遍,果然好了。
以下附鏈接和解決方案:
https://answers.microsoft.com/zh-hans/windows/forum/all/%E5%88%9B%E5%BB%BA-tls-%E5%AE%A2%E6%88%B7%E7%AB%AF/dfce5c89-6d90-4dd3-b0db-b36accf44487
歡迎咨詢社區(qū)!我是“獨立顧問”(Independent Advisor),我叫Chen Pondsi-彭迪斯(姓陳)。
建議執(zhí)行一下干凈啟動:
https://support.microsoft.com/zh-cn/help/929135...
先卸載設(shè)備中全部的第三方反病毒軟件與系統(tǒng)優(yōu)化軟件 (例如 360、360桌面、騰訊電腦管家、騰訊桌面、魯大師,代理,加速器,虛擬機等)。
然后右擊開始菜單---運行,輸入 :
msconfig
回車
服務(wù)----勾選下面的“隱藏所有 Microsoft 服務(wù)”--------點擊“全部禁用”。
(若是設(shè)置了pin密碼,請把IPsec Policy Agent設(shè)置為開啟/自動,這是Microsoft 服務(wù),前面隱藏了Microsoft 服務(wù),因此正常情況下是看不到的,若是沒有看到,無須特意關(guān)注。)
然后鼠標(biāo)右擊任務(wù)欄------任務(wù)管理器----啟動-------將所有的啟動項全部禁用。(逐個右擊啟動項,選擇“禁用”)
然后 鼠標(biāo)右擊左下角開始按鈕-------"Windows PowerShell(I)"(管理員)(A ),輸入:
(建議復(fù)制粘貼,逐條輸入,防止遺漏。)
sfc /SCANNOW
回車
Dism /Online /Cleanup-Image /ScanHealth
回車
Dism /Online /Cleanup-Image /CheckHealth
回車
DISM /Online /Cleanup-image /RestoreHealth
回車
netsh winsock reset
回車
netsh int ip reset
回車
ipconfig /release
回車
ipconfig /renew
回車
ipconfig /flushdns
回車
ipconfig /registerdns
回車
然后右擊開始菜單---運行,輸入
inetcpl.cpl
回車
-----高級,還原一下高級設(shè)置。
然后在上述選擇框中找到-----使用TLS1.0//使用TLS1.1//使用TLS1.2// 使用TLS1.3(實驗)----這4個打上勾,點擊確定。
然后右鍵網(wǎng)絡(luò)連接圖標(biāo),選擇 “打開網(wǎng)絡(luò)和共享中心”。
點擊現(xiàn)在連接的網(wǎng)絡(luò)名稱,打開網(wǎng)絡(luò)狀態(tài)窗口,點擊 “屬性”,在網(wǎng)絡(luò)屬性窗口中雙擊 “Internet 協(xié)議版本4 (TCP / IPv4)”。
將 DNS 服務(wù)器設(shè)置為“自動”,確定。
執(zhí)行完畢上述方案后,重啟設(shè)備。
創(chuàng)作不易,喜歡這篇文章的朋友還請點贊、評論、收藏、轉(zhuǎn)發(fā)、關(guān)注支持一下。
第二階段
IKEv1協(xié)商階段2
IKEv1協(xié)商階段2的目的就是建立用來安全傳輸數(shù)據(jù)的IPSec SA,并為數(shù)據(jù)傳輸衍生出密鑰。這一階段采用快速模式(Quick Mode)。該模式使用IKEv1協(xié)商階段1中生成的密鑰對ISAKMP消息的完整性和身份進行驗證,并對ISAKMP消息進行加密,故保證了交換的安全性。IKEv1協(xié)商階段2的協(xié)商過程如圖2所示。
IKEv1協(xié)商階段2通過三條ISAKMP消息完成雙方IPSec SA的建立:
協(xié)商發(fā)起方發(fā)送本端的安全參數(shù)和身份認(rèn)證信息。
安全參數(shù)包括被保護的數(shù)據(jù)流和IPSec安全提議等需要協(xié)商的參數(shù)。身份認(rèn)證信息包括第一階段計算出的密鑰和第二階段產(chǎn)生的密鑰材料等,可以再次認(rèn)證對等體。
說明:IPSec安全提議指IPSec協(xié)商過程中用到的安全協(xié)議、加密算法及認(rèn)證算法等。
協(xié)商響應(yīng)方發(fā)送確認(rèn)的安全參數(shù)和身份認(rèn)證信息并生成新的密鑰。
IPSec SA數(shù)據(jù)傳輸需要的加密、驗證密鑰由第一階段產(chǎn)生的密鑰、SPI、協(xié)議等參數(shù)衍生得出,以保證每個IPSec SA都有自己獨一無二的密鑰。
如果啟用PFS,則需要再次應(yīng)用DH算法計算出一個共享密鑰,然后參與上述計算,因此在參數(shù)協(xié)商時要為PFS協(xié)商DH密鑰組。
發(fā)送方發(fā)送確認(rèn)信息,確認(rèn)與響應(yīng)方可以通信,協(xié)商結(jié)束。
第二階段報文詳解
HDR contains CKY-I | CKY-R
KE (for PFS)=g^I (Initiator) or g^r (Responder)
HASH(1)=PRF (SKEYID_a | Message_ID | SA|Ni[|KE][| IDi2 | IDr2])
HASH(2)=PRF (SKEYID_a | Message_ID | Ni | SA|Nr[|KE][| IDi2 | IDr2])
HASH(3)=PRF (SKEYID_a | 0 | Message_ID | Ni | Nr)
IDi2:ACL,源IP和源掩碼的哈希
IDr2:ACL,目的IP和目的掩碼的哈希
解釋:
使用IKEv1階段1中生成的密鑰SKEYID_a對ISAKMP消息的完整性和身份進行驗證,使用密鑰SKEYID_e對ISAKMP消息進行加密,故保證了交換的安全性。KE和第一階段中的KE的目的是一樣的,使用DH算法,計算出一個對公共的密鑰作為隧道所用的加密密鑰。
完美向前保密PFS
消息1發(fā)送本端的安全參數(shù)和身份認(rèn)證信息(默認(rèn)不協(xié)商感興趣流)
安全參數(shù)包括保護的數(shù)據(jù)流和IPSec安全提議等需要協(xié)商的參數(shù)。身份認(rèn)證信息包括第一階段計算出的密鑰和第二階段產(chǎn)生的密鑰材料等,可以再次認(rèn)證對等體。
2、消息2響應(yīng)消息1,發(fā)送響應(yīng)方安全參數(shù)和身份認(rèn)證信息并生成新的密鑰
對等體雙方通過交換密鑰材料生成新的共享密鑰,并最終衍生出IPSec的加密密鑰。此時響應(yīng)者發(fā)送者各有兩個SA。
IPSec SA數(shù)據(jù)傳輸需要的加密、驗證密鑰由SKEYID_d、SPI、協(xié)議等參數(shù)衍生得出,以保證每個IPSec SA都有自己獨一無二的密鑰。
當(dāng)啟用PFS時,要再次應(yīng)用DH算法計算出一個共享密鑰,然后參與上述計算,因此在參數(shù)協(xié)商時要為PFS協(xié)商DH密鑰組。
抓包驗證(加了密沒啥好看的 -.-):
主模式與野蠻模式的區(qū)別
1.交換的消息:主模式為6個包,野蠻模式為3個包,野蠻模式能夠更快創(chuàng)建IKE SA。
2.NAT支持:對預(yù)共享密鑰認(rèn)證:主模式不支持NAT轉(zhuǎn)換,而野蠻模式支持。而對于證書方式認(rèn)證:兩種模式都能支持。
3.對等體標(biāo)識:主模式只能采用IP地址方式標(biāo)識對等體;而野蠻模式可以采用IP地址方式或者Name方式標(biāo)識對等體。
這是由于主模式在交換完3、4消息以后,需要使用預(yù)共享密鑰來計算SKEYID,當(dāng)一個設(shè)備有多個對等體時,必須查找到該對等體對應(yīng)的預(yù)共享密鑰,但是由于其對等體的ID信息在消息5、6中才會發(fā)送,此時主模式的設(shè)備只能使用消息3、4中的IP報文源地址來找到與其對應(yīng)的預(yù)共享密鑰;
如果主模式采用Name方式,Name信息卻包含在消息5、6中,而設(shè)備必須在消息5、6之前找到其對等體的預(yù)共享密鑰,所以就造成了矛盾,無法完成Name方式的標(biāo)識。而在野蠻模式中,ID消息在消息1、2中就已經(jīng)發(fā)送了,設(shè)備可以根據(jù)ID信息查找到對應(yīng)的預(yù)共享密鑰,從而計算SKEYID。但是由于野蠻模式交換的2個消息沒有經(jīng)過加密,所以ID信息也是明文的,也相應(yīng)造成了安全隱患。
4.提議轉(zhuǎn)換對數(shù)量:在野蠻模式中,由于第一個消息就需要交換DH消息,而DH消息本身就決定了采用哪個DH組,這樣在提議轉(zhuǎn)換對中就確定了使用哪個DH組,如果第一個消息中包含多個提議轉(zhuǎn)換對,那么這多個轉(zhuǎn)換對的DH組必須相同(和DH消息確定的DH組一致),否則消息1中只能攜帶和確定DH組相同的提議轉(zhuǎn)換對。
5.協(xié)商能力:由于野蠻模式交換次數(shù)的限制,因此野蠻模式協(xié)商能力低于主模式。
6.主模式常用,野蠻已經(jīng)不推薦使用,推薦使用模板方式
7.兩者之間的協(xié)商過程不同
8.場景不同:
與主模式相比,野蠻模式減少了交換信息的數(shù)目,提高了協(xié)商的速度**,但是沒有對身份信息進行加密保護**。雖然野蠻模式不提供身份保護,但它可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求:
當(dāng)IPSec隧道中存在NAT設(shè)備時,需要啟動NAT穿越功能,而NAT轉(zhuǎn)化會改變對等體的IP地址,由于野蠻模式不依賴于IP地址標(biāo)識身份,使得采用預(yù)共享密鑰驗證方式時,NAT穿越只能在野蠻模式中實現(xiàn)。
如果發(fā)起方的IP地址不固定或者無法預(yù)知,而雙方都希望采用預(yù)共享密鑰驗證方法來創(chuàng)建IKE SA,則只能采用野蠻模式。
如果發(fā)起方已知響應(yīng)方的策略,或者對響應(yīng)者的策略有全面的了解,采用野蠻模式能夠更快地創(chuàng)建IKE SA。
要求兩端都是固定IP地址。