Windows2012R2 远程桌面服务 (RDP)3389 存在 SSL 漏洞的解决办法

1. 前言

为了提高远程桌面的安全级别, 保证数据不被黑客窃取, 在 Windows2003 的最新补丁包 SP1 中添加了一个安全认证方式的远程桌面功能. 通过这个功能我们可以使用 SSL 加密信息来传输控制远程服务器的数据, 从而弥补了远程桌面功能本来的安全缺陷.

2. 问题描述

在 Windows server 2003 和 Windows server 2008, 远程桌面服务 SSL 加密默认是关闭的, 需要配置才可以使用; 但 Windows server 2012 默认是开启的, 且有默认的 CA 证书. 由于 SSL/ TLS 自身存在漏洞缺陷, 当 Windows server 2012 开启远程桌面服务, 使用漏洞扫描工具扫描, 发现存在 SSL/TSL 漏洞, 如图 1 所示:

图 1 远程桌面服务 (RDP) 存在 SSL/TLS 漏洞

3. 解决办法

方法一: 使用 Windows 自带的 FIPS 代替 SSL 加密

1) 启用 FIPS

操作步骤: 管理工具 -> 本地安全策略 -> 安全设置 -> 本地策略 -> 安全选项 -> 找到 "系统加密: 将 FIPS 兼容算法用于加密, 哈希和签名" 选项 -> 右键 "属性"-> 在 "本地安全设置" 下, 选择 "已启用 (E)", 点击 "应用","确定", 即可. 如图 2 所示:

图 2 启用 FIPS

2) 禁用 SSL 密码套件

操作步骤: 按下'Win + R', 进入 "运行", 键入 "gpedit.msc", 打开 "本地组策略编辑器"-> 计算机配置 -> 网络 ->SSL 配置设置 -> 在 "SSL 密码套件顺序" 选项上, 右键 "编辑"-> 在 "SSL 密码套件顺序" 选在 "已禁用 (D)" , 点击 "应用","确定", 即可. 如图 3 所示:

图 3 禁用 SSL 密码套件

3) 删除默认 CA 认证书

操作步骤: 按下'Win + R', 进入 "运行", 键入 "mmc", 打开 "管理控制台"->"文件"->"添加 / 删除管理单元 (M)"-> 在 "可用的管理单元" 下选择 "证书"-> 单击 "添加"-> 在 "证书管理单元" 中选择 "计算机用户 (C)", 点击 "下一步"-> 在 "选择计算机" 中选择 "本地计算机 (运行此控制台的计算机)(L)", 单击 "完成"-> 回到 "添加 / 删除管理单元", 单击 "确定"-> 回到 "控制台"->"证书 (本地计算机)"->"远程桌面"->"证书"-> 在默认证书上右键 "删除" 即可.

图 4 删除默认 CA 认证书

4) 重启服务器, 使用 nmap 扫描端口, 结果如图 5 所示, 表示修改成功.

方法二: 升级 SSL 加密 CA 证书

1) 修改 SSL 密码套件

操作步骤: 按下'Win + R', 进入 "运行", 键入 "gpedit.msc", 打开 "本地组策略编辑器"-> 计算机配置 -> 网络 ->SSL 配置设置 -> 在 "SSL 密码套件顺序" 选项上, 右键 "编辑"-> 在 "SSL 密码套件顺序" 选在 "已启用 (E)" , 在 "SSL 密码套件" 下修改 SSL 密码套件算法, 仅保留 TLS 1.2 SHA256 和 SHA384 密码套件, TLS 1.2 ECC GCM 密码套件 (删除原有内容替换为 "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256")-> 点击 "应用","确定", 即可. 如图 6 所示

图 6 修改 SSL 密码套件

2) 删除默认 CA 证书

删除默认 CA 证书参考方法一 "删除默认 CA 认证书" 部分.

3) 添加新 CA 证书

添加新 CA 证书请参考: https://blog.csdn.net/a549569635/article/details/48831105

4) 验证

使用 OpenVas 等漏洞扫描工具检测是否升级成功.