Windows server 2012遠端桌面服務（RDP）存在SSL / TLS漏洞的解決辦法

標籤：圖片   SHA256   rsa   src   計算   層級   遠端桌面   內容   漏洞掃描   

 

1、 前言

為了提高遠端桌面的安全層級，保證資料不被×××竊取，在Windows2003的最新補丁包SP1中添加了一個安全認證方式的遠端桌面功能。通過這個功能我們可以使用SSL加密資訊來傳輸控制遠程伺服器的資料，從而彌補了遠端桌面功能本來的安全缺陷。

2、問題描述

在Windows server 2003和Windows server 2008，遠端桌面服務SSL加密預設是關閉的，需要配置才可以使用；但 Windows server 2012預設是開啟的，且有預設的CA認證。由於SSL/ TLS自身存在漏洞缺陷，當Windows server 2012開啟遠端桌面服務，使用漏洞掃描工具掃描，發現存在SSL/TSL漏洞，1所示：

圖1 遠端桌面服務（RDP）存在SSL/TLS漏洞

3、解決辦法

方法一：使用Windows內建的FIPS代替SSL加密

1）啟用FIPS

操作步驟：管理工具->本地安全性原則->安全設定->本地策略->安全選項->找到“系統加密：將FIPS相容演算法用於加密、雜湊和簽名”選項->右鍵“屬性”->在“本地安全設定”下，選擇“已啟用（E）”，點擊“應用”、“確定”，即可。2所示：

圖2 啟用FIPS

2）禁用SSL密碼套件

操作步驟：按下‘Win + R’，進入“運行”，鍵入“gpedit.msc”，開啟“本機群組原則編輯器”->電腦配置->網路->SSL配置設定->在“SSL密碼套件順序”選項上，右鍵“編輯”->在“SSL密碼套件順序”選在“已禁用（D）” ，點擊“應用”、“確定”，即可。3所示：

圖3禁用SSL密碼套件

3）刪除預設CA認認證

操作步驟：按下‘Win + R’，進入“運行”，鍵入“mmc”，開啟“管理主控台”->“檔案”->“添加/刪除嵌入式管理單元（M）”->在“可用的嵌入式管理單元”下選擇“認證”->單擊“添加”->在“憑證嵌入式管理單元”中選擇“電腦使用者（C）”，點擊“下一步”->在“選擇電腦”中選擇“本機電腦（運行此控制台的電腦）（L）”，單擊“完成”->回到“添加/刪除嵌入式管理單元”，單擊“確定”->回到“控制台”->“認證（本機電腦）”->“遠端桌面”->“認證”->在預設認證上右鍵“刪除”即可。

圖4刪除預設CA認認證

4）重啟伺服器，使用nmap掃描連接埠，結果5所示，表示修改成功。

方法二：升級SSL加密CA認證

1）修改SSL密碼套件

操作步驟：按下‘Win + R’，進入“運行”，鍵入“gpedit.msc”，開啟“本機群組原則編輯器”->電腦配置->網路->SSL配置設定->在“SSL密碼套件順序”選項上，右鍵“編輯”->在“SSL密碼套件順序”選在“已啟用（E）” ，在“SSL密碼套件”下修改SSL密碼套件演算法，僅保留TLS 1.2 SHA256 和 SHA384 密碼套件、TLS 1.2 ECC GCM 密碼套件（刪除原有內容替換為“TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256”）->點擊“應用”、“確定”，即可。6所示：

圖6修改SSL密碼套件

2）刪除預設CA認證

刪除預設CA認證參考方法一“刪除預設CA認認證”部分。

3）添加新CA認證

添加新CA認證請參考：48831105

4）驗證

使用Openvas等漏洞掃描工具檢測是否升級成功。

Windows server 2012遠端桌面服務（RDP）存在SSL / TLS漏洞的解決辦法