好,所以我试图从我们的Nessus扫描中删除一些我的系统从这个中等的漏洞。
微软的Windows远程桌面协议服务器中间人的弱点
我设置了以下GPO设置:
计算机configuration\策略\pipe理模板\ Windows组件\远程桌面服务\远程桌面会话主机\要求使用远程(RDP)连接的特定安全层:SSL(TLS 1.0)
一旦我这样做了,我的Windows 7客户端不再有Nessus问题,但是RDP不再适用于Linux或Windows客户端。 我得到以下错误:
来自客户:
Linux的:
[ryan@gobo ~]$ rdesktop -0 win7 Autoselected keyboard map en-us ERROR: recv: Connection reset by peer
视窗:
"the connection cannot proceed becuase authentication is not enabled
一个服务器系统(运行RDP的Windows 7盒子):
Log Name: System Source: TermDD Date: 4/9/2012 4:28:58 PM Event ID: 50 Task Category: None Level: Error Keywords: Classic User: N/A Computer: gobo-vm Description: The RDP protocol component X.224 detected an error in the protocol stream and has disconnected the client.
和这个:
Log Name: System Source: Schannel Date: 4/9/2012 4:07:54 PM Event ID: 36870 Task Category: None Level: Error Keywords: User: SYSTEM Computer: gobo-vm Description: A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009030d. The internal error state is 10001.
我已经看到这是一个权限问题与证书的解决scheme,因为在networking服务帐户没有权限访问它,但我不能find证书在文件系统上检查它。
除此之外,我没有想法/select。 我在这里寻找智者。
来自TechNet :
使用SSL(TLS 1.0)在RDP连接期间保护客户端与RD会话主机服务器之间的通信时,需要证书来validationRD会话主机服务器。 您可以select已安装在RD会话主机服务器上的证书,也可以使用默认的自签名证书。 您可以使用“远程桌面会话主机configuration”pipe理单元访问的“RDP-Tcp属性”对话框为远程桌面连接启用SSL。
默认情况下,远程桌面连接在最高安全级别(128位)下进行encryption。 但是,某些较早版本的远程桌面连接客户端应用程序不支持这种高级别的encryption。 如果需要高级encryption来支持传统客户端,则可以将连接的encryption级别configuration为以客户端支持的最高encryption级别发送和接收数据。
有四个级别的encryption可用:
低
从客户端发送到服务器的数据使用56位encryption进行encryption。 从服务器发送到客户端的数据不encryption。客户端兼容
以客户端支持的最大密钥强度encryption客户端/服务器通信。 terminal服务器在包含混合或旧版客户端的环境中运行时使用此级别。 这是默认的encryption级别。高
使用128位encryptionencryption客户端/服务器通信。 访问terminal服务器的客户端也支持128位encryption时使用此级别。 在此级别设置encryption时,不支持此级别encryption的客户端将无法连接。符合FIPS
所有客户端/服务器通信都使用联邦信息处理标准(FIPS)encryptionalgorithm进行encryption和解密。 FIPS 140-1(1994)及其后续文件FIPS 140-2(2001)描述了美国政府对encryption的要求。从“远程桌面会话主机configuration”pipe理单元访问的“RDP-Tcp属性”对话框允许您configurationencryption级别。
我会build议看看你的证书设置。 您是否购买了第三方SSL证书? 或者你从RD服务器上生成了一个? 它是否有一个私人密钥分配,因为它将需要一个。
这听起来像是证书/私钥的问题。 我会尝试在RD主机GPO内添加一个“导入证书到个人存储”GPO规则,并查看客户机连接是否需要RD主机证书。 您刚强制SSL,但尚未安装/显示可信证书。