Windows Server 2008或2012 修复CVE-2016-2183(SSLTLS)漏洞的办法

转自 https://www.cnblogs.com/xyb0226/p/14205536.html

一、漏洞说明

Windows server 2008或2012远程桌面服务SSL加密默认是开启的，且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷，当开启远程桌面服务，使用漏洞扫描工具扫描，发现存在SSL/TSL漏洞。

例如如下漏洞：

二、修复办法

1、登录服务器，打开windows powershell，运行gpedit.msc，打开“本地组策略编辑器”。

2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”， 在“SSL密码套件顺序”选项上，右键“编辑”。

3、在“SSL密码套件顺序”选在“已启用（E）” ，在“SSL密码套件”下修改SSL密码套件算法，仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。

（删除原有内容替换为：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA）。

修改后，点击“应用”、“确定”，即可。

4、重启服务器即可。

1. AlwaysOn - 这个功能将数据库的镜像提到了一个新的高度。用户可以针对一组数据库做灾难恢复而不是一个单独的数据库。2. Windows Server Core 支持 - Windows Server COre 是命令行界面的 Windows，使用 DOS 和 PowerShell 来做用户交互。它的资源占用更少，更安全，支持 SQL Server 2012。3. Columnstore 索引 - 这是 SQL Server 独有的功能。它们是为数据仓库查询设计的只读索引。数据被组织成扁平化的压缩形式存储，极大的减少了 I/O 和内存使用。4. 自定义服务器权限 - DBA 可以创建数据库的权限，但不能创建服务器的权限。比如说，DBA想要一个开发组拥有某台服务器上所有数据库的读写权限，他必须手动的完成这个操作。但是 SQL Server 2012 支持针对服务器的权限设置。5. 增强的审计功能 - 现在所有的 SQL Server 版本都支持审计。用户可以自定义审计规则，记录一些自定义的时间和日志。6. BI 语义模型 - 这个功能是用来替代“Analysis Services Unified Dimentional Model”的。这是一种支持 SQL Server 所有 BI 体验的混合数据模型。

---