Windows server 2012遠程桌面服務（RDP）存在SSL / TLS漏洞的解決辦法

1、 前言

為了提高遠程桌面的安全級別，保證數據不被×××竊取，在Windows2003的最新補丁包SP1中添加了一個安全認證方式的遠程桌面功能。通過這個功能我們可以使用SSL加密信息來傳輸控制遠程服務器的數據，從而彌補了遠程桌面功能本來的安全缺陷。

2、問題描述

在Windows server 2003和Windows server 2008，遠程桌面服務SSL加密默認是關閉的，需要配置才可以使用；但 Windows server 2012默認是開啟的，且有默認的CA證書。由于SSL/ TLS自身存在漏洞缺陷，當Windows server 2012開啟遠程桌面服務，使用漏洞掃描工具掃描，發現存在SSL/TSL漏洞，如圖1所示：

圖1 遠程桌面服務（RDP）存在SSL/TLS漏洞

3、解決辦法

方法一：使用Windows自帶的FIPS代替SSL加密

1）啟用FIPS

操作步驟：管理工具->本地安全策略->安全設置->本地策略->安全選項->找到“系統加密：將FIPS兼容算法用于加密、哈希和簽名”選項->右鍵“屬性”->在“本地安全設置”下，選擇“已啟用（E）”，點擊“應用”、“確定”，即可。如圖2所示：

圖2 啟用FIPS

2）禁用SSL密碼套件

操作步驟：按下‘Win + R’，進入“運行”，鍵入“gpedit.msc”，打開“本地組策略編輯器”->計算機配置->網絡->SSL配置設置->在“SSL密碼套件順序”選項上，右鍵“編輯”->在“SSL密碼套件順序”選在“已禁用（D）” ，點擊“應用”、“確定”，即可。如圖3所示：

圖3禁用SSL密碼套件

3）刪除默認CA認證書

操作步驟：按下‘Win + R’，進入“運行”，鍵入“mmc”，打開“管理控制臺”->“文件”->“添加/刪除管理單元（M）”->在“可用的管理單元”下選擇“證書”->單擊“添加”->在“證書管理單元”中選擇“計算機用戶（C）”，點擊“下一步”->在“選擇計算機”中選擇“本地計算機（運行此控制臺的計算機）（L）”，單擊“完成”->回到“添加/刪除管理單元”，單擊“確定”->回到“控制臺”->“證書（本地計算機）”->“遠程桌面”->“證書”->在默認證書上右鍵“刪除”即可。

圖4刪除默認CA認證書

4）重啟服務器，使用nmap掃描端口，結果如圖5所示，表示修改成功。

方法二：升級SSL加密CA證書

1）修改SSL密碼套件

操作步驟：按下‘Win + R’，進入“運行”，鍵入“gpedit.msc”，打開“本地組策略編輯器”->計算機配置->網絡->SSL配置設置->在“SSL密碼套件順序”選項上，右鍵“編輯”->在“SSL密碼套件順序”選在“已啟用（E）” ，在“SSL密碼套件”下修改SSL密碼套件算法，僅保留TLS 1.2 SHA256 和 SHA384 密碼套件、TLS 1.2 ECC GCM 密碼套件（刪除原有內容替換為“TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256”）->點擊“應用”、“確定”，即可。如圖6所示：

圖6修改SSL密碼套件

2）刪除默認CA證書

刪除默認CA證書參考方法一“刪除默認CA認證書”部分。

3）添加新CA證書

添加新CA證書請參考：https://blog.csdn.net/a549569635/article/details/48831105

4）驗證

使用Openvas等漏洞掃描工具檢測是否升級成功。