- 前言
為了提高遠程桌面的安全級別,保證數據不被***竊取,在Windows2003的最新補丁包SP1中添加了一個安全認證方式的遠程桌面功能。通過這個功能我們可以使用SSL加密信息來傳輸控制遠程服務器的數據,從而彌補了遠程桌面功能本來的安全缺陷。
2.問題描述
在Windows server 2003和Windows server 2008,遠程桌面服務SSL加密默認是關閉的,需要配置才可以使用;但 Windows server 2012默認是開啟的,且有默認的CA證書。由於SSL/ TLS自身存在漏洞缺陷,當Windows server 2012開啟遠程桌面服務,使用漏洞掃描工具掃描,發現存在SSL/TSL漏洞,如圖1所示:
Windows2012R2 遠程桌面服務(RDP)3389存在SSL漏洞的解決辦法
圖1 遠程桌面服務(RDP)存在SSL/TLS漏洞
3.解決辦法
方法一:使用Windows自帶的FIPS代替SSL加密
1)啟用FIPS
操作步驟:管理工具->本地安全策略->安全設置->本地策略->安全選項->找到"系統加密:將FIPS兼容算法用於加密、哈希和簽名"選項->右鍵"屬性"->在"本地安全設置"下,選擇"已啟用(E)",點擊"應用"、"確定",即可。如圖2所示:
Windows2012R2 遠程桌面服務(RDP)3389存在SSL漏洞的解決辦法
圖2 啟用FIPS
2)禁用SSL密碼套件
操作步驟:按下' Win + R',進入"運行",鍵入" gpedit.msc",打開"本地組策略編輯器"->計算機配置->網絡->SSL配置設置->在"SSL密碼套件順序"選項上,右鍵"編輯"->在"SSL密碼套件順序"選在"已禁用(D)" ,點擊"應用"、"確定",即可。如圖3所示:
Windows2012R2 遠程桌面服務(RDP)3389存在SSL漏洞的解決辦法
圖3禁用SSL密碼套件
3)刪除默認CA認證書
操作步驟:按下'Win + R',進入"運行",鍵入"mmc",打開"管理控制台"->"文件"->"添加/刪除管理單元(M)"->在"可用的管理單元"下選擇"證書"->單擊"添加"->在"證書管理單元"中選擇"計算機用戶(C)",點擊"下一步"->在"選擇計算機"中選擇"本地計算機(運行此控制台的計算機)(L)",單擊"完成"->回到"添加/刪除管理單元",單擊"確定"->回到"控制台"->"證書(本地計算機)"->"遠程桌面"->"證書"->在默認證書上右鍵"刪除"即可。
Windows2012R2 遠程桌面服務(RDP)3389存在SSL漏洞的解決辦法
Windows2012R2 遠程桌面服務(RDP)3389存在SSL漏洞的解決辦法
Windows2012R2 遠程桌面服務(RDP)3389存在SSL漏洞的解決辦法
文章轉載於林鴻風采 地址https://blog.51cto.com/linhong/2108702
轉載於:https://blog.51cto.com/13654115/2299173