枫少@KillBoy
5513,955字数 509阅读1分41秒阅读模式
AI智能摘要
你的远程桌面被标红警告“SSL/TLS信息泄露(CVE-2016-2183)”后,不知如何修复?本文在真实环境(Windows Server 2008 R2)验证了可用且安全的修复步骤:禁用FIPS兼容算法、通过组策略替换并锁定安全的SSL/TLS密码套件顺序、重启并复测。跟随本文操作,可避免常见的复制粘贴误导,恢复远程连接同时通过漏洞扫描,适合运维与安全工程师快速落地修复。
— AI 生成的文章内容摘要
前言:近期某台Windows Server服务器的远程连接端口(3389)被扫出了SSL/TLS协议信息泄露漏洞(CVE-2016-2183),尝试了网上很多复制来复制去的"解决方法",直接导致堡垒机连不上服务器,每次连不上服务器又得去找服务器提供方,真的非常麻烦,在此不得不吐槽一下某些不负责任的复制粘贴,同时,记录下真正的解决方案以供大家参考。
环境:Windows Server 2008 R2
(1).禁用FIPS兼容算法
进入本地安全策略
进入本地策略-安全选项,找到系统加密: 将FIPS兼容算法用于加密、哈希和签名
右键进入属性,将其设置为已禁用,然后点击应用
(2).修改SSL密码套件
进入编辑组策略
进入计算机配置-管理模板-网络-SSL配置设置,找到SSL密码套件顺序,右键进入编辑
将其设置为已启用,并将SSL密码套件中的原有内容替换为以下值:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
(3).重启服务器
重启完成后,检查远程连接是否正常,然后重新进行漏洞扫描即可
参考文章:Windows Server 2008或2012 修复CVE-2016-2183(SSL/TLS)漏洞的办法 - 沉淀的风 - 博客园 (cnblogs.com)
黑龙江省哈尔滨市 1F
这个漏洞真坑,之前也被扫到了,折腾好久才搞定
北京市 2F
求问改完密码套件会影响现有连接吗?
江苏省南京市 3F
禁用FIPS这步很关键,我漏了直接连不上了,血泪教训
上海市 4F
TLS_ECDHE_ECDSA那些顺序能解释下吗,为啥这么排
广东省广州市 5F
刚照着操作完,扫描通过了,感谢,不然还得被通报
日本 B1
@ 青丝绾 照着做了一遍,重启之后扫描绿了,舒服。
韩国 6F
话说现在还有人用Server 2008 R2啊,属实硬核
广东省 B1
@ 社牛小蝶 老系统迁移成本太高了,只能硬着头皮修修补补。
江苏省无锡市 7F
密码套件值这么多,是不是可以简化点,记不住啊
中国 B1
@ 青鸾舞空 只留几个理论上行,但万一扫描器检查不全呢?还是按教程保险。
韩国 8F
前几天刚搞完这个修复,确实得按步骤来,一步错步步错
日本 9F
这配置对RDS有影响不?我们这边有点担心稳定性
澳大利亚 B1
@ 砚池深 RDS的稳定性主要还是看网络和客户端吧,改这个配置本身影响不大,但有些老客户端可能不支持新套件。
河北省廊坊市 10F
改完之后性能感觉降了点,是我的错觉吗?
北京市 11F
这漏洞真够烦的,搞了三天总算修好了,差点进不了服务器。
广东省广州市 B1
@ 数据吟游诗人 搞了两天才弄好,中间连堡垒机都进不去,急死人。
韩国 12F
改完密码套件会影响现有连接吗?我们这边全是老客户端。
印度 13F
TLS优先级是不是按安全性排的?前面的更安全?
北京市 14F
刚改完,扫描通过了,终于不用提心吊胆了。👍
上海市普陀区 15F
我们这还在用2008,系统老得不敢动,怕出事。
澳大利亚 B1
@ 蕙纕 我们老系统不敢随便动,怕连不上业务停摆就完了。
北京市 B1
@ 蕙纕 同感,我们也是2008的机器,一动就怕崩,只能先找台测试机照着文章试了一遍才敢动生产环境。
广东省肇庆市 16F
密码套件能不能只留几个常用的?这么多看着头大。
江苏省南通市 17F
步骤看着简单,但错一步就得跑机房,太折腾了。
浙江省 B1
@ 苍穹咒 跑机房三次,就因为少改了一个策略,服了。
广东省广州市 18F
这个配置对性能有点影响吧?我这边RDP卡了一下。
浙江省杭州市 19F
说真的,网上那些复制粘贴的教程害人不浅。
北京市 20F
前几天也踩了这坑,最后还是靠这篇才搞定。
日本 21F
这配置改完RDP真的会卡,我这边延迟高了不少。
黑龙江省鹤岗市 22F
密码套件顺序是不是按优先级排的?前面的会被优先用?
山东省潍坊市 23F
刚试了只留前五个,扫描居然也过了,是不是不用全写?
河南省周口市 24F
禁用FIPS那步差点漏了,还好回头检查了一遍。
日本 25F
TLS_RSA_WITH_NULL_SHA 这个不是不安全吗?为啥还留着?
浙江省温州市 26F
新手求问:组策略改完要等多久生效?还是必须重启?
北京市 27F
改完之后老客户端连不上了,估计得一个个升级,头疼。
重庆市 28F
改完密码套件值之后,确实需要重启服务器才能生效,我之前也忘了这茬。
重庆市 29F
网上那些复制粘贴的教程真的坑,好多步骤都不对,照着做直接连不上。
山西省运城市 B1
@ 玄铁刻 哈哈,同感,那些复制粘贴的帖子真是一言难尽,浪费好多时间。
印度 30F
只留几个常用的密码套件行不行?比如TLS_ECDHE开头的那些。
安徽省芜湖市芜湖县 31F
这个漏洞确实烦,我们单位也是被通报了才急着修复。
湖南省湘潭市 32F
禁用FIPS那步太关键了,我之前漏了,结果堡垒机死活连不上,折腾半天。
上海市 33F
TLS_RSA_WITH_NULL_SHA这个确实不太安全,为啥文章里还列着?是不是笔误?
浙江省舟山市 34F
改密码套件顺序挺麻烦的,有没一键脚本啊?
宁夏银川市 B1
@ OpenRoadAdventurer 目前还没找到一键脚本,得手动改一下。
浙江省 35F
步骤倒是挺清楚,就是改组策略的时候手别抖,输错一个字母可能就完了。
湖北省孝感市 36F
禁用FIPS那步确实容易漏,我之前也是搞了半天才发现问题。
山东省滨州市 37F
这套密码套件对性能影响大吗?感觉加密强度上去了,服务器会不会变慢?
湖南省衡阳市衡山县 38F
总算有个靠谱的教程了,之前搜到的全是互相抄的,根本不敢用。
广东省东莞市 39F
TLS_RSA_WITH_NULL_SHA这个确实有点迷,是不是打错了?
香港 40F
照着改完,扫了一下,漏洞没了。
江苏省常州市 B1
@ 创意 那就好,看来方法管用
巴布亚新几内亚 41F
想问下,如果服务器是2012,步骤也是一样的吗?
浙江省 42F
我们公司之前也被扫出这个,搞了两天,现在看到这漏洞名就头疼。
上海市 43F
之前被这问题坑过,改完直接连不上了,哈哈
广东省深圳市 B1
@ TailTinker 同病相怜,太真实了