一个专业运维
技术分享网站!

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法

1. 前言

为了提高远程桌面的安全级别, 保证数据不被黑客窃取, 在 Windows2003 的最新补丁包 SP1 中添加了一个安全认证方式的远程桌面功能. 通过这个功能我们可以使用 SSL 加密信息来传输控制远程服务器的数据, 从而弥补了远程桌面功能本来的安全缺陷.

2. 问题描述

在 Windows server 2003 和 Windows server 2008, 远程桌面服务 SSL 加密默认是关闭的, 需要配置才可以使用; 但 Windows server 2012 默认是开启的, 且有默认的 CA 证书. 由于 SSL/ TLS 自身存在漏洞缺陷, 当 Windows server 2012 开启远程桌面服务, 使用漏洞扫描工具扫描, 发现存在 SSL/TSL 漏洞, 如图 1 所示:

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第1张

图 1 远程桌面服务 (RDP) 存在 SSL/TLS 漏洞

3. 解决办法

方法一: 使用 Windows 自带的 FIPS 代替 SSL 加密

1) 启用 FIPS

操作步骤: 管理工具 -> 本地安全策略 -> 安全设置 -> 本地策略 -> 安全选项 -> 找到 “系统加密: 将 FIPS 兼容算法用于加密, 哈希和签名” 选项 -> 右键 “属性”-> 在 “本地安全设置” 下, 选择 “已启用 (E)”, 点击 “应用”,”确定”, 即可. 如图 2 所示:

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第2张

图 2 启用 FIPS

2) 禁用 SSL 密码套件

操作步骤: 按下’Win + R’, 进入 “运行”, 键入 “gpedit.msc”, 打开 “本地组策略编辑器”-> 计算机配置 -> 网络 ->SSL 配置设置 -> 在 “SSL 密码套件顺序” 选项上, 右键 “编辑”-> 在 “SSL 密码套件顺序” 选在 “已禁用 (D)” , 点击 “应用”,”确定”, 即可. 如图 3 所示:

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第3张

图 3 禁用 SSL 密码套件

3) 删除默认 CA 认证书

操作步骤: 按下’Win + R’, 进入 “运行”, 键入 “mmc”, 打开 “管理控制台”->“文件”->“添加 / 删除管理单元 (M)”-> 在 “可用的管理单元” 下选择 “证书”-> 单击 “添加”-> 在 “证书管理单元” 中选择 “计算机用户 (C)”, 点击 “下一步”-> 在 “选择计算机” 中选择 “本地计算机 (运行此控制台的计算机)(L)”, 单击 “完成”-> 回到 “添加 / 删除管理单元”, 单击 “确定”-> 回到 “控制台”->“证书 (本地计算机)”->“远程桌面”->“证书”-> 在默认证书上右键 “删除” 即可.

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第4张

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第5张

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第6张

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第7张

图 4 删除默认 CA 认证书

4) 重启服务器, 使用 nmap 扫描端口, 结果如图 5 所示, 表示修改成功.

Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法 Windows 第8张

方法二: 升级 SSL 加密 CA 证书

1) 修改 SSL 密码套件

操作步骤: 按下’Win + R’, 进入 “运行”, 键入 “gpedit.msc”, 打开 “本地组策略编辑器”-> 计算机配置 -> 网络 ->SSL 配置设置 -> 在 “SSL 密码套件顺序” 选项上, 右键 “编辑”-> 在 “SSL 密码套件顺序” 选在 “已启用 (E)” , 在 “SSL 密码套件” 下修改 SSL 密码套件算法, 仅保留 TLS 1.2 SHA256 和 SHA384 密码套件, TLS 1.2 ECC GCM 密码套件 (删除原有内容替换为 “TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256”)-> 点击 “应用”,”确定”, 即可. 如图 6 所示

图 6 修改 SSL 密码套件

2) 删除默认 CA 证书

删除默认 CA 证书参考方法一 “删除默认 CA 认证书” 部分.

3) 添加新 CA 证书

添加新 CA 证书请参考: https://blog.csdn.net/a549569635/article/details/48831105

4) 验证

使用 OpenVas 等漏洞扫描工具检测是否升级成功.

历史上的今天
十月
29
    哇哦~~~,历史上的今天没发表过文章哦
赞(3) 打赏
未经允许不得转载:小柳实验室 » Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏