ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Network security monitoring dashboard showing TLS handshake analysis and Windows Schannel event logs
Event ID 36874ErrorSchannelWindows

ID d'événement Windows 36874 – Schannel : Échec de la poignée de main de connexion TLS

L'ID d'événement 36874 indique un échec de la poignée de main TLS dans le fournisseur de sécurité Schannel, se produisant généralement lorsque des connexions sécurisées ne peuvent pas être établies en raison de désaccords de protocole, de problèmes de certificat ou d'incompatibilités de suites de chiffrement.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
19 mars 202612 min de lecture 0
Event ID 36874Schannel 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 36874 représente un événement de sécurité critique qui se produit lorsque le fournisseur Schannel de Windows ne peut pas terminer une poignée de main TLS avec un point de terminaison distant. Le processus de poignée de main implique plusieurs étapes, y compris la négociation de la version du protocole, la sélection de la suite de chiffrement, la validation du certificat et l'échange de clés. L'échec à l'une de ces étapes déclenche cet événement.

Les détails de l'événement incluent généralement l'adresse IP distante ou le nom d'hôte, la version du protocole TLS tentée et un code d'erreur spécifique indiquant la raison de l'échec. Les scénarios courants incluent la tentative de connexion à des serveurs utilisant des protocoles TLS 1.0 ou 1.1 obsolètes, des échecs de validation de certificat dus à des certificats expirés ou non fiables, des incompatibilités de suites de chiffrement où aucun algorithme de chiffrement commun n'est pris en charge, et des problèmes de connectivité réseau pendant le processus de poignée de main.

Dans les environnements Windows Server, cet événement apparaît souvent lorsque les clients tentent de se connecter en utilisant des protocoles obsolètes ou lorsque les chaînes de certificats ne peuvent pas être validées. L'événement est également courant dans les environnements avec des paramètres de stratégie de groupe stricts qui désactivent certaines versions de TLS ou suites de chiffrement pour la conformité de sécurité. Comprendre la raison spécifique de l'échec est crucial pour déterminer si le problème provient de la configuration du client, de la configuration du serveur ou de problèmes d'infrastructure réseau.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Incompatibilité de version du protocole TLS entre les points de terminaison client et serveur
  • Certificats SSL/TLS expirés, révoqués ou non fiables sur le serveur distant
  • Incompatibilité de suite de chiffrement où aucun algorithme de chiffrement commun n'est pris en charge
  • Échecs de validation de la chaîne de certificats en raison de certificats intermédiaires manquants
  • Restrictions de stratégie de groupe désactivant des versions TLS ou suites de chiffrement spécifiques
  • Problèmes de connectivité réseau interrompant le processus de poignée de main
  • Interférence de pare-feu ou de proxy avec les paquets de négociation TLS
  • Erreurs de configuration SSL/TLS côté serveur ou défaillances de service
  • Corruption du magasin de certificats côté client ou certificats racine manquants
  • Problèmes de synchronisation temporelle affectant les vérifications de validité des certificats
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre la raison spécifique de l'échec et les informations sur le point de terminaison distant.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 36874 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 36874 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'ID d'événement 36874 le plus récent pour voir les informations détaillées
  6. Notez l'adresse IP du point de terminaison distant, la version du protocole et la description de l'erreur
  7. Vérifiez l'horodatage de l'événement pour le corréler avec les tentatives de connexion d'application ou de service

Utilisez PowerShell pour extraire plusieurs événements pour l'analyse des motifs :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=36874} -MaxEvents 50 | Select-Object TimeCreated, Message | Format-Table -Wrap
Astuce pro : Recherchez des motifs récurrents dans les points de terminaison distants ou des moments spécifiques où des échecs se produisent pour identifier des problèmes systémiques.
02

Vérifier la configuration du protocole TLS

Vérifiez les paramètres du protocole TLS sur le système local pour assurer la compatibilité avec les points de terminaison distants.

  1. Ouvrez l'Éditeur du Registre en tant qu'Administrateur
  2. Accédez à HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. Vérifiez les sous-clés comme TLS 1.0, TLS 1.1, TLS 1.2, et TLS 1.3
  4. Sous chaque version de protocole, examinez les sous-clés Client et Server
  5. Vérifiez les valeurs DWORD Enabled et DisabledByDefault

Utilisez PowerShell pour vérifier la configuration TLS actuelle :

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\*\*' | Select-Object PSPath, Enabled, DisabledByDefault

Pour activer les connexions client TLS 1.2 si elles sont désactivées :

New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value 0 -PropertyType DWORD -Force
Avertissement : La modification des paramètres du protocole TLS nécessite un redémarrage du système et peut affecter toutes les connexions SSL/TLS à l'échelle du système.
03

Valider la chaîne de certificats et le magasin de confiance

Examinez la chaîne de certificats et le magasin de confiance pour identifier les échecs de poignée de main liés aux certificats.

  1. Ouvrez Microsoft Management Console en exécutant mmc.exe en tant qu'administrateur
  2. Ajoutez le composant logiciel enfichable Certificats pour le compte d'ordinateur
  3. Accédez à Certificats (Ordinateur local)Autorités de certification racines de confianceCertificats
  4. Vérifiez que les certificats racines requis sont présents et non expirés
  5. Vérifiez les Autorités de certification intermédiaires pour les certificats intermédiaires manquants

Utilisez PowerShell pour tester la validation de la chaîne de certificats pour un point de terminaison spécifique :

$endpoint = "example.com"
$port = 443
$tcpClient = New-Object System.Net.Sockets.TcpClient
$tcpClient.Connect($endpoint, $port)
$sslStream = New-Object System.Net.Security.SslStream($tcpClient.GetStream())
try {
    $sslStream.AuthenticateAsClient($endpoint)
    Write-Host "Validation du certificat réussie" -ForegroundColor Green
    $sslStream.RemoteCertificate | Format-List
} catch {
    Write-Host "Échec de la validation du certificat : $($_.Exception.Message)" -ForegroundColor Red
} finally {
    $sslStream.Close()
    $tcpClient.Close()
}

Pour mettre à jour le magasin de certificats à partir de Windows Update :

certlm.msc  # Ouvrir le Gestionnaire de certificats
# Ou utilisez PowerShell pour mettre à jour les certificats racines
Invoke-Expression "certutil -generateSSTFromWU roots.sst"
Invoke-Expression "certutil -addstore -f root roots.sst"
04

Configurer les préférences de la suite de chiffrement

Ajustez la configuration de la suite de chiffrement pour résoudre les problèmes de compatibilité avec les points de terminaison distants.

  1. Ouvrez l'Éditeur de stratégie de groupe en exécutant gpedit.msc
  2. Accédez à Configuration de l'ordinateurModèles d'administrationRéseauParamètres de configuration SSL
  3. Configurez la stratégie Ordre des suites de chiffrement SSL si disponible
  4. Sinon, utilisez PowerShell pour gérer directement les suites de chiffrement

Lister l'ordre actuel des suites de chiffrement :

Get-TlsCipherSuite | Select-Object Name, Certificate, KeyExchange, Cipher, Hash | Format-Table -AutoSize

Activer des suites de chiffrement spécifiques pour la compatibilité :

# Activer TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 si désactivé
Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

# Définir l'ordre de priorité des suites de chiffrement
$cipherOrder = @(
    "TLS_AES_256_GCM_SHA384",
    "TLS_AES_128_GCM_SHA256",
    "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
    "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
)

foreach ($cipher in $cipherOrder) {
    Enable-TlsCipherSuite -Name $cipher
}

Vérifiez le registre pour la configuration des suites de chiffrement :

Get-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' -Name Functions -ErrorAction SilentlyContinue
Astuce pro : Les applications modernes en 2026 préfèrent les suites de chiffrement AEAD comme AES-GCM pour une meilleure sécurité et performance.
05

Activer la journalisation détaillée de Schannel et l'analyse réseau

Implémentez une journalisation complète et une analyse réseau pour diagnostiquer des échecs de poignée de main complexes.

  1. Activez la journalisation détaillée des événements Schannel dans le registre
  2. Configurez la capture de paquets réseau pour l'analyse de la poignée de main TLS
  3. Utilisez Windows Performance Toolkit pour des diagnostics avancés

Activez la journalisation détaillée de Schannel :

# Activer la journalisation des événements Schannel
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL' -Name 'EventLogging' -Value 7 -PropertyType DWORD -Force

# Activer la journalisation de la poignée de main TLS (Windows Server 2022/2025)
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL' -Name 'LogLevel' -Value 7 -PropertyType DWORD -Force

Capturez le trafic réseau pour l'analyse de la poignée de main :

# Démarrer la capture réseau avec netsh
netsh trace start capture=yes provider=Microsoft-Windows-TCPIP tracefile=C:\temp\tls_capture.etl

# Reproduire le problème de connexion TLS
# Arrêter la capture
netsh trace stop

# Convertir en pcap pour l'analyse avec Wireshark
pktmon start --etw -f C:\temp\tls_packets.etl
# Reproduire le problème
pktmon stop
pktmon etl2txt C:\temp\tls_packets.etl

Surveillez les événements Schannel en temps réel :

# Surveiller les événements Schannel au fur et à mesure qu'ils se produisent
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Schannel'} -MaxEvents 1 | Wait-Event

# Créer un abonnement d'événements personnalisé
wevtutil cs schannel_monitor.xml
# Où schannel_monitor.xml contient la configuration de l'abonnement

Analysez le timing et la performance de la poignée de main TLS :

# Utiliser Performance Toolkit pour une analyse détaillée
wpr -start GeneralProfile -start CPU -start Network
# Reproduire le problème TLS
wpr -stop C:\temp\tls_analysis.etl

# Analyser avec Windows Performance Analyzer
wpa C:\temp\tls_analysis.etl
Avertissement : La journalisation détaillée peut générer un volume de journaux important et doit être désactivée après le dépannage pour éviter un impact sur les performances.

Aperçu

L'ID d'événement 36874 se déclenche lorsque le fournisseur de sécurité Schannel de Windows rencontre un échec de poignée de main TLS lors de l'établissement d'une connexion sécurisée. Cet événement apparaît dans le journal Système chaque fois qu'un client ou un serveur ne peut pas terminer la phase initiale de négociation TLS, qui est essentielle pour établir des communications chiffrées. L'événement inclut généralement des détails sur le point d'extrémité distant, la version du protocole et la raison spécifique de l'échec.

Schannel est l'implémentation native de Windows des protocoles SSL/TLS, gérant toutes les communications de couche de sockets sécurisées pour le système d'exploitation et les applications. Lorsque cet événement se produit, il indique que la négociation cryptographique entre deux points d'extrémité a échoué, empêchant l'établissement d'un canal sécurisé. Cela peut affecter les navigateurs web, les clients de messagerie, les connexions de bureau à distance et toute application s'appuyant sur le chiffrement TLS.

L'événement devient particulièrement pertinent dans les environnements d'entreprise où des politiques de sécurité strictes, la gestion des certificats et la conformité aux protocoles sont appliquées. Les systèmes Windows modernes en 2026 ont un support TLS 1.3 amélioré et ont déprécié les anciens protocoles, rendant cet événement plus courant lors de la connexion à des systèmes hérités ou à des services mal configurés.

Questions Fréquentes

Que signifie l'ID d'événement 36874 et quand se produit-il ?+
L'ID d'événement 36874 indique un échec de la poignée de main TLS dans le fournisseur de sécurité Schannel de Windows. Cela se produit lorsqu'un client ou un serveur ne peut pas terminer la phase initiale de négociation TLS nécessaire pour établir une connexion sécurisée. Cela se produit lors de la négociation de la version du protocole, de la sélection de la suite de chiffrement, de la validation du certificat ou des phases d'échange de clés. L'événement inclut des détails sur le point de terminaison distant et la raison spécifique de l'échec, ce qui le rend essentiel pour diagnostiquer les problèmes de connectivité SSL/TLS dans les environnements d'entreprise.
Comment puis-je identifier quelle application ou service cause l'ID d'événement 36874 ?+
Pour identifier l'application source, corrélez l'horodatage de l'événement avec les journaux d'application et les connexions réseau. Utilisez la commande PowerShell 'Get-NetTCPConnection | Where-Object {$_.State -eq "Established" -and $_.RemotePort -eq 443}' pour voir les connexions HTTPS actives. Vérifiez les journaux spécifiques à l'application dans le Visualiseur d'événements sous Journaux des applications et des services. Pour les serveurs IIS, examinez les journaux IIS pour les négociations SSL échouées. Process Monitor (ProcMon) peut également suivre quels processus tentent des connexions réseau pendant la période où l'ID d'événement 36874 se produit.
L'ID d'événement 36874 peut-il être causé par des mises à jour Windows ou des modifications de la stratégie de groupe ?+
Oui, les mises à jour Windows et les modifications de la stratégie de groupe provoquent fréquemment l'ID d'événement 36874. Les mises à jour de sécurité en 2026 ont renforcé les exigences TLS, désactivant potentiellement les anciens protocoles comme TLS 1.0 et 1.1. Les paramètres de stratégie de groupe sous Configuration de l'ordinateur > Modèles d'administration > Réseau > Paramètres de configuration SSL peuvent restreindre les suites de chiffrement ou les versions de protocole. Les mises à jour récentes peuvent également mettre à jour le magasin de confiance des certificats, rendant invalides les certificats précédemment approuvés. Toujours examiner les modifications récentes de la politique et l'historique des mises à jour Windows lors du dépannage des échecs soudains de la poignée de main TLS.
Quelle est la différence entre l'ID d'événement 36874 et les autres événements d'erreur Schannel ?+
L'ID d'événement 36874 indique spécifiquement des échecs de poignée de main lors de la négociation TLS initiale. L'ID d'événement 36888 se rapporte généralement à des erreurs de validation de certificat après une négociation de protocole réussie. L'ID d'événement 36870 indique des alertes fatales reçues de l'extrémité distante. L'ID d'événement 36871 montre des connexions TLS réussies pour comparaison. L'ID d'événement 36874 se produit plus tôt dans le processus de connexion que les erreurs spécifiques aux certificats, ce qui le rend plus large en portée et indique souvent des incompatibilités au niveau du protocole plutôt que des problèmes de certificat uniquement.
Comment puis-je prévenir l'ID d'événement 36874 dans un environnement Windows mixte avec des systèmes hérités ?+
Dans des environnements mixtes, mettez en œuvre une approche progressive pour la modernisation de TLS. Utilisez la stratégie de groupe pour configurer les paramètres TLS de manière cohérente sur les systèmes joints au domaine. Activez TLS 1.2 et 1.3 tout en maintenant temporairement la compatibilité TLS 1.1 pour les systèmes hérités. Déployez des certificats intermédiaires sur tous les systèmes et assurez-vous que les chaînes de certificats sont complètes. Utilisez PowerShell DSC ou les préférences de stratégie de groupe pour standardiser les configurations de suites de chiffrement. Surveillez les modèles d'ID d'événement 36874 pour identifier les systèmes hérités nécessitant des mises à jour. Envisagez de mettre en œuvre un proxy TLS ou un répartiteur de charge pour gérer la traduction de protocole entre les systèmes modernes et hérités pendant la période de transition.
Documentation

Références (2)

1
Microsoft Learn - Schannel Security Support ProviderComprehensive technical reference for Windows Schannel provider, TLS protocols, and security configuration options.https://learn.microsoft.com/en-us/windows-server/security/tls/schannel-security-support-provider-technical-reference
2
Microsoft Docs - TLS Registry SettingsOfficial documentation for configuring TLS protocol versions and cipher suites through Windows registry settings.https://learn.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#schannel-errors#event-id-36874#tls-handshake

Événements Windows associés

Network security monitoring dashboard showing SSL/TLS certificate validation and security status
Event 36888
Schannel
Windows EventError

ID d'événement Windows 36888 – Schannel : Échec de la poignée de main TLS/SSL avec erreur de validation de certificat

L'ID d'événement 36888 indique un échec de la poignée de main TLS/SSL dans le fournisseur de sécurité Schannel, généralement causé par des erreurs de validation de certificat, des incompatibilités de protocole ou de suite de chiffrement lors des tentatives de connexion sécurisée.

19 mars12 min
Windows certificate management dashboard showing SSL/TLS certificate validation in a security operations center
Event 5378
SCHANNEL
Windows EventError

ID d'événement Windows 5378 – SCHANNEL : Erreur de validation de la chaîne de certificats TLS/SSL

L'ID d'événement 5378 indique que SCHANNEL a rencontré une erreur de validation de chaîne de certificats lors de la poignée de main TLS/SSL, généralement en raison de certificats racine non fiables ou de chaînes de certificats incomplètes.

18 mars12 min
Windows security dashboard showing TLS certificate management and Schannel event monitoring
Event 36887
Schannel
Windows EventError

ID d'événement Windows 36887 – Schannel : Erreur de connexion TLS ou échec de validation du certificat

L'ID d'événement 36887 indique des échecs de connexion TLS/SSL ou des erreurs de validation de certificat dans le fournisseur de sécurité Schannel, affectant couramment les connexions HTTPS et les communications sécurisées.

17 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...