web-dev-qa-db-ja.com

リモートデスクトップのSSLの有効化

さて、私はNessusスキャンからこの中程度の脆弱性を持つことから私のシステムの数を削除しようとしています。

Microsoft WindowsリモートデスクトッププロトコルサーバーMan-in-the-Middleの弱点

次のGPO設定:

コンピューターの構成\ポリシー\管理用テンプレート\ Windowsコンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\リモート(RDP)接続に特定のセキュリティレイヤーの使用が必要:SSL(TLS 1.0)

これを行うと、Windows 7クライアントでNessusの問題が発生しなくなりますが、RDPはLinuxまたはWindowsクライアントでは機能しなくなります。次のエラーが発生します。

クライアントから:

Linux:

[ryan@gobo ~]$ rdesktop -0 win7
Autoselected keyboard map en-us
ERROR: recv: Connection reset by peer

ウィンドウズ:

"the connection cannot proceed becuase authentication is not enabled

サーバーシステムの1つ(RDPを実行しているWindows 7ボックス):

Log Name:      System
Source:        TermDD
Date:          4/9/2012 4:28:58 PM
Event ID:      50
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      gobo-vm
Description:
The RDP protocol component X.224 detected an error in the
protocol stream and has disconnected the client.

そしてこれ:

Log Name:      System
Source:        Schannel
Date:          4/9/2012 4:07:54 PM
Event ID:      36870
Task Category: None
Level:         Error
Keywords:      
User:          SYSTEM
Computer:      gobo-vm
Description:
A fatal error occurred when attempting to access the SSL server 
credential private key. The error code returned from the 
cryptographic module is 0x8009030d. The internal error state is 
10001.

ネットワークサービスアカウントにはアクセス許可がないため、これが証明書のアクセス許可の問題であるという解決策を見てきましたが、ファイルシステム上のどこに証明書があるかを確認できません。

それ以外は、アイデアや選択肢がありません。私はここで賢者を探します。

windows-7sslgroup-policyremote-desktoprdp
5
Ryan

から TechNet

RDP接続中にクライアントとRDセッションホストサーバー間の通信を保護するためにSSL(TLS 1.0)が使用されている場合、RDセッションホストサーバーを認証するには証明書が必要です。 RDセッションホストサーバーに既にインストールされている証明書を選択するか、デフォルトの自己署名証明書を使用できます。リモートデスクトップセッションホスト構成スナップインからアクセスする[RDP-Tcpプロパティ]ダイアログボックスを使用して、リモートデスクトップ接続のSSLを有効にできます。

デフォルトでは、リモートデスクトップ接続は、利用可能な最高レベルのセキュリティ(128ビット)で暗号化されます。ただし、一部の古いバージョンのリモートデスクトップ接続クライアントアプリケーションは、この高レベルの暗号化をサポートしていません。レガシークライアントをサポートするために高レベルの暗号化が必要な場合は、接続の暗号化レベルを構成して、クライアントがサポートする最高の暗号化レベルでデータを送受信できます。

使用可能な暗号化には4つのレベルがあります。


クライアントからサーバーに送信されるデータは、56ビット暗号化を使用して暗号化されます。サーバーからクライアントに送信されるデータは暗号化されていません。

クライアント互換
クライアントがサポートする最大のキー強度でクライアント/サーバー通信を暗号化します。ターミナルサーバーが混合クライアントまたはレガシークライアントを含む環境で実行されている場合は、このレベルを使用します。これはデフォルトの暗号化レベルです。

高い
128ビット暗号化を使用してクライアント/サーバー通信を暗号化します。ターミナルサーバーにアクセスするクライアントが128ビット暗号化もサポートしている場合は、このレベルを使用します。このレベルで暗号化が設定されている場合、このレベルの暗号化をサポートしていないクライアントは接続できません。

FIPS準拠
すべてのクライアント/サーバー通信は、連邦情報処理標準(FIPS)暗号化アルゴリズムを使用して暗号化および復号化されます。 FIPS 140-1(1994)およびその後継であるFIPS 140-2(2001)は、米国政府の暗号化要件について説明しています。

リモートデスクトップセッションホスト構成スナップインからアクセスする[RDP-Tcpプロパティ]ダイアログボックスでは、暗号化レベルを構成できます。

1
Garrett Dumas

証明書の設定を調べることをお勧めします。サードパーティのSSL証明書を購入しましたか?または、RDサーバーから生成しましたか?秘密鍵が必要になるため、秘密鍵が割り当てられていますか?.

証明書/秘密鍵に問題があるようです。 '個人ストアに証明書をインポートする' GPOルールをRDホスト内に追加してみますGPOそして、RDホスト証明書がクライアントに必要かどうかを確認しますマシンを接続します。SSLを強制しましたが、信頼できる証明書をインストール/表示していません。

0
mgt