Windows server 2012远程桌面服务（RDP）存在SSL / TLS漏洞的解决办法

1、 前言

为了提高远程桌面的安全级别，保证数据不被×××窃取，在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据，从而弥补了远程桌面功能本来的安全缺陷。

2、问题描述

在Windows server 2003和Windows server 2008，远程桌面服务SSL加密默认是关闭的，需要配置才可以使用；但 Windows server 2012默认是开启的，且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷，当Windows server 2012开启远程桌面服务，使用漏洞扫描工具扫描，发现存在SSL/TSL漏洞，如图1所示：

图1 远程桌面服务（RDP）存在SSL/TLS漏洞

3、解决办法

方法一：使用Windows自带的FIPS代替SSL加密

1）启用FIPS

操作步骤：管理工具->本地安全策略->安全设置->本地策略->安全选项->找到“系统加密：将FIPS兼容算法用于加密、哈希和签名”选项->右键“属性”->在“本地安全设置”下，选择“已启用（E）”，点击“应用”、“确定”，即可。如图2所示：

图2 启用FIPS

2）禁用SSL密码套件

操作步骤：按下‘Win + R’，进入“运行”，键入“gpedit.msc”，打开“本地组策略编辑器”->计算机配置->网络->SSL配置设置->在“SSL密码套件顺序”选项上，右键“编辑”->在“SSL密码套件顺序”选在“已禁用（D）” ，点击“应用”、“确定”，即可。如图3所示：

图3禁用SSL密码套件

3）删除默认CA认证书

操作步骤：按下‘Win + R’，进入“运行”，键入“mmc”，打开“管理控制台”->“文件”->“添加/删除管理单元（M）”->在“可用的管理单元”下选择“证书”->单击“添加”->在“证书管理单元”中选择“计算机用户（C）”，点击“下一步”->在“选择计算机”中选择“本地计算机（运行此控制台的计算机）（L）”，单击“完成”->回到“添加/删除管理单元”，单击“确定”->回到“控制台”->“证书（本地计算机）”->“远程桌面”->“证书”->在默认证书上右键“删除”即可。

图4删除默认CA认证书

4）重启服务器，使用nmap扫描端口，结果如图5所示，表示修改成功。

方法二：升级SSL加密CA证书

1）修改SSL密码套件

操作步骤：按下‘Win + R’，进入“运行”，键入“gpedit.msc”，打开“本地组策略编辑器”->计算机配置->网络->SSL配置设置->在“SSL密码套件顺序”选项上，右键“编辑”->在“SSL密码套件顺序”选在“已启用（E）” ，在“SSL密码套件”下修改SSL密码套件算法，仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件（删除原有内容替换为“TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256”）->点击“应用”、“确定”，即可。如图6所示：

图6修改SSL密码套件

2）删除默认CA证书

删除默认CA证书参考方法一“删除默认CA认证书”部分。

3）添加新CA证书

添加新CA证书请参考：https://blog.csdn.net/a549569635/article/details/48831105

4）验证

使用Openvas等漏洞扫描工具检测是否升级成功。

原文地址：http://blog.51cto.com/linhong/2133482