Rya*_*yan 5 ssl rdp windows-7 remote-desktop group-policy
好的,所以我正在尝试从我们的 Nessus 扫描中删除我的一些系统,以免出现这种中等漏洞。
Microsoft Windows 远程桌面协议服务器中间人弱点
我设置了以下 GPO 设置:
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\需要使用特定安全层进行远程 (RDP) 连接:SSL (TLS 1.0)
一旦我这样做了,我的 Windows 7 客户端不再有 Nessus 问题,但是 RDP 不再适用于 Linux 或 Windows 客户端。我收到以下错误:
来自客户:
Linux:
[ryan@gobo ~]$ rdesktop -0 win7
Autoselected keyboard map en-us
ERROR: recv: Connection reset by peer
视窗:
"the connection cannot proceed becuase authentication is not enabled
一个服务器系统(运行 RDP 的 Windows 7 机器):
Log Name: System
Source: TermDD
Date: 4/9/2012 4:28:58 PM
Event ID: 50
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: gobo-vm
Description:
The RDP protocol component X.224 detected an error in the
protocol stream and has disconnected the client.
和这个:
Log Name: System
Source: Schannel
Date: 4/9/2012 4:07:54 PM
Event ID: 36870
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: gobo-vm
Description:
A fatal error occurred when attempting to access the SSL server
credential private key. The error code returned from the
cryptographic module is 0x8009030d. The internal error state is
10001.
我已经看到解决方案是证书的权限问题,因为在网络服务帐户中没有访问它的权限,但我找不到证书在文件系统上的位置来检查它。
除此之外,我没有想法/选择。我在这里寻找智者。
来自科技网:
当使用 SSL (TLS 1.0) 在 RDP 连接期间保护客户端和 RD 会话主机服务器之间的通信安全时,需要使用证书来对 RD 会话主机服务器进行身份验证。您可以选择已安装在 RD 会话主机服务器上的证书,也可以使用默认的自签名证书。您可以使用“RDP-Tcp 属性”对话框为远程桌面连接启用 SSL,该对话框可从“远程桌面会话主机配置”管理单元访问。
默认情况下,远程桌面连接以可用的最高安全级别(128 位)进行加密。但是,某些旧版本的远程桌面连接客户端应用程序不支持这种高级加密。如果需要高级别加密来支持旧版客户端,则可以将连接的加密级别配置为以客户端支持的最高加密级别发送和接收数据。
有四种可用的加密级别:
低
从客户端发送到服务器的数据使用 56 位加密进行加密。从服务器发送到客户端的数据未加密。客户端兼容
以客户端支持的最大密钥强度加密客户端/服务器通信。当终端服务器在包含混合或旧客户端的环境中运行时,请使用此级别。这是默认的加密级别。高
使用 128 位加密来加密客户端/服务器通信。当访问终端服务器的客户端也支持 128 位加密时使用此级别。当加密设置在此级别时,不支持此加密级别的客户端将无法连接。符合 FIPS 标准
所有客户端/服务器通信均使用联邦信息处理标准 (FIPS) 加密算法进行加密和解密。FIPS 140-1 (1994) 及其后续版本 FIPS 140-2 (2001) 描述了美国政府的加密要求。通过“远程桌面会话主机配置”管理单元访问“RDP-Tcp 属性”对话框,您可以配置加密级别。