好的,我正在尝试从 Nessus 扫描中删除一些存在中等漏洞的系统。
Microsoft Windows 远程桌面协议服务器中间人漏洞
我设置了以下 GPO 设置:
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\要求对远程 (RDP) 连接使用特定安全层: SSL (TLS 1.0)
一旦我这样做,我的 Windows 7 客户端就不再有 Nessus 问题,但是 RDP 不再适用于 Linux 或 Windows 客户端。我收到以下错误:
来自客户:
Linux:
[ryan@gobo ~]$ rdesktop -0 win7
Autoselected keyboard map en-us
ERROR: recv: Connection reset by peer
视窗:
"the connection cannot proceed becuase authentication is not enabled
一个服务器系统(运行RDP的Windows 7系统):
Log Name: System
Source: TermDD
Date: 4/9/2012 4:28:58 PM
Event ID: 50
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: gobo-vm
Description:
The RDP protocol component X.224 detected an error in the
protocol stream and has disconnected the client.
和这个:
Log Name: System
Source: Schannel
Date: 4/9/2012 4:07:54 PM
Event ID: 36870
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: gobo-vm
Description:
A fatal error occurred when attempting to access the SSL server
credential private key. The error code returned from the
cryptographic module is 0x8009030d. The internal error state is
10001.
我已经看到了关于此问题的解决方案,这是证书的权限问题,因为网络服务帐户没有权限访问它,但我无法在文件系统上找到证书来检查它。
除此之外,我没别的想法/选择。我在这里寻找明智的人。
答案1
从科技网:
当使用 SSL (TLS 1.0) 保护客户端与 RD 会话主机服务器在 RDP 连接期间的通信时,需要证书来验证 RD 会话主机服务器。您可以选择已安装在 RD 会话主机服务器上的证书,也可以使用默认的自签名证书。您可以使用“RDP-Tcp 属性”对话框为远程桌面连接启用 SSL,该对话框可从远程桌面会话主机配置管理单元访问。
默认情况下,远程桌面连接以最高安全级别(128 位)进行加密。但是,某些较旧版本的远程桌面连接客户端应用程序不支持这种高级别的加密。如果需要高级别的加密来支持旧版客户端,则可以将连接的加密级别配置为以客户端支持的最高加密级别发送和接收数据。
有四种级别的加密可用:
低的
客户端向服务器发送的数据采用 56 位加密技术进行加密。服务器向客户端发送的数据未加密。客户端兼容
以客户端支持的最大密钥强度加密客户端/服务器通信。当终端服务器在包含混合或旧式客户端的环境中运行时,请使用此级别。这是默认加密级别。高的
使用 128 位加密对客户端/服务器通信进行加密。当访问终端服务器的客户端也支持 128 位加密时,请使用此级别。当加密设置为此级别时,不支持此加密级别的客户端将无法连接。符合 FIPS 标准
所有客户端/服务器通信均使用联邦信息处理标准 (FIPS) 加密算法进行加密和解密。FIPS 140-1 (1994) 及其后续标准 FIPS 140-2 (2001) 描述了美国政府对加密的要求。从远程桌面会话主机配置管理单元访问的“RDP-Tcp 属性”对话框允许您配置加密级别。
答案2
我建议你检查一下证书设置。你购买了第三方 SSL 证书吗?或者你从 RD 服务器生成了一个证书?它是否分配了私钥,因为它需要一个私钥。
这听起来像是证书/私钥的问题。我会尝试在您的 RD 主机 GPO 中添加“将证书导入个人存储”GPO 规则,看看客户端计算机是否需要 RD 主机证书才能连接。您刚刚强制使用 SSL,但尚未安装/显示受信任的证书。