一、漏洞說明
Windows server 2008或2012亡笑、2016遠(yuǎn)程桌面服務(wù)SSL加密默認(rèn)是開啟的脸狸,且有默認(rèn)的CA證書。由于SSL/ TLS自身存在漏洞缺陷缴渊,當(dāng)開啟遠(yuǎn)程桌面服務(wù)赏壹,使用漏洞掃描工具掃描,發(fā)現(xiàn)存在SSL/TSL漏洞衔沼。
例如如下漏洞:
圖片1.png
二蝌借、修復(fù)辦法
1、登錄服務(wù)器指蚁,打開windows powershell菩佑,運(yùn)行g(shù)pedit.msc,打開“本地組策略編輯器”凝化。
圖片2.png
2稍坯、打開“本地組策略編輯器”-“計算機(jī)配置”-“管理模板”-“網(wǎng)絡(luò)”-“SSL配置設(shè)置”, 在“SSL密碼套件順序”選項(xiàng)上搓劫,右鍵“編輯”瞧哟。
圖片3.png
圖片4.png
3、在“SSL密碼套件順序”選在“已啟用(E)” 枪向,在“SSL密碼套件”下修改SSL密碼套件算法勤揩,僅保留TLS 1.2 SHA256 和 SHA384 密碼套件、TLS 1.2 ECC GCM 密碼套件遣疯。
刪除原有內(nèi)容替換為:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
修改后雄可,點(diǎn)擊“應(yīng)用”凿傅、“確定”,即可数苫。
圖片5.png
4聪舒、重啟服務(wù)器即可。
