1、 前言
为了提高远程桌面的安全级别,保证数据不被×××窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。
2、问题描述
在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的,需要配置才可以使用;但 Windows server 2012默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当Windows server 2012开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞,如图1所示:
图1 远程桌面服务(RDP)存在SSL/TLS漏洞
3、解决办法
方法一:使用Windows自带的FIPS代替SSL加密
1)启用FIPS
操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到“系统加密:将FIPS兼容算法用于加密、哈希和签名”选项->右键“属性”->在“本地安全设置”下,选择“已启用(E)”,点击“应用”、“确定”,即可。如图2所示:
