Хорошо, поэтому я пытаюсь удалить несколько моих систем из нашего сканирования Nessus из-за этой средней уязвимости.
Слабость сервера протокола удаленного рабочего стола Microsoft Windows: человек посередине
Я установил следующую настройку GPO:
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Требует использования определенного уровня безопасности для удаленных (RDP) подключений: SSL (TLS 1.0)
Как только я это сделаю, у моих клиентов Windows 7 больше не будет проблемы с Nessus, однако RDP больше не будет работать с клиентами Linux или Windows. Я получаю следующие ошибки:
От клиентов:
Linux:
[ryan@gobo ~]$ rdesktop -0 win7
Autoselected keyboard map en-us
ERROR: recv: Connection reset by peer
Windows:
"the connection cannot proceed becuase authentication is not enabled
Одна серверная система (Windows 7 с RDP):
Log Name: System
Source: TermDD
Date: 4/9/2012 4:28:58 PM
Event ID: 50
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: gobo-vm
Description:
The RDP protocol component X.224 detected an error in the
protocol stream and has disconnected the client.
и этот:
Log Name: System
Source: Schannel
Date: 4/9/2012 4:07:54 PM
Event ID: 36870
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: gobo-vm
Description:
A fatal error occurred when attempting to access the SSL server
credential private key. The error code returned from the
cryptographic module is 0x8009030d. The internal error state is
10001.
Я видел решения, связанные с проблемой разрешения для сертификата, так как в учетной записи сетевой службы нет разрешения на доступ к ней, но я не могу найти, где находится сертификат в файловой системе, чтобы проверить его.
Помимо этого у меня нет идей / вариантов. Я ищу здесь мудрых.
Из TechNet:
Сертификат необходим для аутентификации сервера узла сеансов удаленных рабочих столов, когда SSL (TLS 1.0) используется для защиты связи между клиентом и сервером узла сеансов удаленных рабочих столов во время подключений RDP. Вы можете выбрать сертификат, который уже установлен на сервере узла сеансов удаленных рабочих столов, или использовать самозаверяющий сертификат по умолчанию. Вы можете включить SSL для подключений к удаленному рабочему столу с помощью диалогового окна свойств RDP-Tcp, доступ к которому можно получить из оснастки «Конфигурация узла сеанса удаленного рабочего стола».
По умолчанию подключения к удаленному рабочему столу зашифрованы на самом высоком уровне безопасности (128 бит). Однако некоторые старые версии клиентского приложения «Подключение к удаленному рабочему столу» не поддерживают такой высокий уровень шифрования. Если для поддержки старых клиентов требуется высокий уровень шифрования, уровень шифрования соединения можно настроить для отправки и получения данных на самом высоком уровне шифрования, поддерживаемом клиентом.
Доступно четыре уровня шифрования:
Низкий
Данные, отправляемые от клиента на сервер, шифруются с использованием 56-битного шифрования. Данные, отправляемые с сервера клиенту, не шифруются.Совместимость с клиентом
Шифрует обмен данными между клиентом и сервером с максимальной надежностью ключа, поддерживаемой клиентом. Используйте этот уровень, когда сервер терминалов работает в среде, содержащей смешанные или устаревшие клиенты. Это уровень шифрования по умолчанию.Высокая
Шифрует обмен данными между клиентом и сервером с использованием 128-битного шифрования. Используйте этот уровень, когда клиенты, обращающиеся к серверу терминалов, также поддерживают 128-битное шифрование. Когда шифрование установлено на этом уровне, клиенты, которые не поддерживают этот уровень шифрования, не смогут подключиться.Соответствует FIPS
Все коммуникации клиент / сервер шифруются и дешифруются с помощью алгоритмов шифрования Федеральных стандартов обработки информации (FIPS). FIPS 140-1 (1994) и его преемник FIPS 140-2 (2001) описывают требования правительства США к шифрованию.Диалоговое окно «Свойства RDP-Tcp», доступ к которому осуществляется из оснастки «Конфигурация узла сеанса удаленного рабочего стола», позволяет настроить уровень шифрования.
Я бы порекомендовал изучить настройку вашего сертификата. Вы приобрели сторонний сертификат SSL? Или вы создали его на своем сервере удаленных рабочих столов? Назначен ли ему закрытый ключ, потому что он понадобится.
Похоже на проблему с сертификатом / закрытым ключом. Я бы попытался добавить правило GPO «импорт сертификата в личное хранилище» внутри вашего объекта групповой политики RD и посмотреть, требуется ли сертификат узла RD для подключения клиентских машин. Вы только что установили SSL, но не установили / не показали доверенный сертификат.