Block cipher algorithms with block size of 64 bits (like DES and 3DES)
birthday attack known as Sweet32 (CVE-2016-2183)NOTE: On Windows 7/10 systems running RDP (Remote Desktop Protocol),the vulnerable cipher that should be disabled is labeled ‘TLS_RSA_WITH_3DES_EDE_CBC_SHA’.
使用IIS Crypto(由Nartac),我尝试应用“最佳实践”模板以及PCI 3.1模板,但是它们都包含不安全的密码(TLS_RSA_WITH_3DES_EDE_CBC_SHA):
如果我禁用此密码,从此计算机到许多Windows工作站的RDP将停止工作(它仍适用于某些2008 R2和2012 R2服务器). RDP客户端简单地给出“发生内部错误”和事件日志:
A fatal error occurred while creating a TLS client credential. The
internal error state is 10013.
我检查了其中一个服务器的服务器事件日志,并看到这两个消息
An TLS 1.2 connection request was received from a remote client
application,but none of the cipher suites supported by the client
application are supported by the server. The SSL connection request
has Failed.The following fatal alert was generated: 40. The internal error state
is 1205.
如何在不破坏传出RDP的情况下修复安全漏洞?
或者,如果上述情况不可能,那么我可以在每个RDP主机上做些什么我无法连接到那个处理它的那个?
—更新#1 —
在Windows 10计算机上禁用TLS_RSA_WITH_3DES_EDE_CBC_SHA后,我尝试连接到多个RDP主机(其中一半主机因“内部错误…”而失败).所以我将其中一个可以连接的主机与一个我无法连接的主机进行了比较.两者都是2008 R2.两者都具有相同的RDP版本(6.3.9600,支持RDP协议8.1).
我通过使用IIS Crypto在其当前设置上执行“保存模板”来比较TLS协议和密码,以便我可以比较模板文件.他们是相同的!所以无论问题是什么,似乎都不是主机上缺少筹码套件的问题.以下是文件中Beyond Compare的屏幕截图:
导致此问题的两个RDP主机之间可能有什么不同以及如何解决它?
为了做你想做的事,我个人会选择以下内容:
>应用3.1模板
>保持启用所有密码套件
>应用于客户端和服务器(勾选复选框).
>单击“应用”以保存更改
如果需要,可以在此处重新启动(并且您可以物理访问机器).
>应用3.1模板
>保持启用所有密码套件
>应用于服务器(未选中复选框).
>取消选中3DES选项
在这里重新启动应该导致正确的结束状态.
实际上,您只想禁用3DES入站,但仍允许出站使用所述密码套件.