一、漏洞說明

Windows server 2008或2012遠程桌面服務(wù)SSL加密默認是開啟的，且有默認的CA證書。由于SSL/ TLS自身存在漏洞缺陷，當開啟遠程桌面服務(wù)，使用漏洞掃描工具掃描，發(fā)現(xiàn)存在SSL/TSL漏洞

二、修復辦法

1.運行：gpedit.msc 打開“本地組策略編輯器”-“計算機配置”-“管理模板”-“網(wǎng)絡(luò)”-“SSL配置設(shè)置”， 在“SSL密碼套件順序”選項上，右鍵“編輯”。

2、在“SSL密碼套件順序”選在“已啟用（E）” ，在“SSL密碼套件”下修改SSL密碼套件算法，僅保留TLS 1.2 SHA256 和 SHA384 密碼套件、TLS 1.2 ECC GCM 密碼套件。

（刪除原有內(nèi)容替換為：）

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

修改后，點擊“應(yīng)用”、“確定”，即可。

3、重啟服務(wù)器即可。