在 Windows 10 上删除易受攻击的密码会破坏传出的 RDP

Question

由于运行 RDP 的 Windows 10 机器，TrustWave 的漏洞扫描程序扫描失败：

块大小为 64 位的块密码算法（如 DES 和 3DES）生日攻击称为 Sweet32 (CVE-2016-2183)

注意：在运行 RDP（远程桌面协议）的 Windows 7/10 系统上，应该禁用的易受攻击的密码标记为“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。

使用 IIS Crypto（由 Nartac），我尝试应用“最佳实践”模板以及 PCI 3.1 模板，但是它们都包含不安全的密码（TLS_RSA_WITH_3DES_EDE_CBC_SHA）：

如果我禁用此密码，RDP从该计算机到许多Windows站停止工作（它仍然有效一些2008 R2和2012 R2服务器）。RDP 客户端简单地给出“发生内部错误”和事件日志：

创建 TLS 客户端凭据时发生致命错误。内部错误状态为 10013。

我检查了其中一台服务器的服务器事件日志，看到了这两条消息

从远程客户端应用程序接收到 TLS 1.2 连接请求，但服务器不支持客户端应用程序支持的任何密码套件。SSL 连接请求失败。

生成了以下致命警报：40。内部错误状态为 1205。

如何在不破坏传出 RDP 的情况下修复安全漏洞？

或者，如果上述方法是不可能的，我是否可以在我无法再连接到的每台 RDP 主机上做一些事情来处理它？

---更新 # 1 ---

在 Windows 10 机器上禁用 TLS_RSA_WITH_3DES_EDE_CBC_SHA 后，我尝试连接到多个 RDP 主机（其中一半因“内部错误...”而失败）。所以，我比较了这些主机中的一个，我可以连接到一个打击，我无法连接。两者都是 2008 R2。两者都具有相同的 RDP 版本（6.3.9600，支持 RDP 协议 8.1）。

我通过使用 IIS Crypto 在当前设置上执行“保存模板”来比较 TLS 协议和密码，以便我可以比较模板文件。他们是一模一样的！因此，无论出现什么问题，似乎都不是主机上缺少芯片套件的问题。以下是来自 Beyond Compare 文件的屏幕截图：

导致此问题的两个 RDP 主机之间可能有什么不同以及如何解决？

Answer 1

IIS Crypto 可以选择设置服务器端（传入）和客户端（传出）选项。您需要在客户端启用一些密码以实现兼容性。

为了做你想做的事，我个人会采取以下措施：

• 应用3.1模板
• 启用所有密码套件
• 适用于客户端和服务器（勾选复选框）。
• 单击“应用”保存更改

如果需要，请在此处重新启动（并且您可以物理访问计算机）。

• 应用3.1模板
• 启用所有密码套件
• 应用到服务器（复选框未选中）。
• 取消选中 3DES 选项

此处重新启动应该会产生正确的最终状态。

实际上，您只想禁用 3DES 入站，但仍然允许出站使用所述密码套件。