背景

漏洞扫描检测windows服务器的远程桌面服务使用了弱加密的ssl证书

思路

按照报告描述，试图使用强加密的新证书更换默认证书

解决

生成证书

通过openssl1.1.1生成（linux自带openssl，windows安装的是openssl1.1.1w），执行：

#生成密钥
openssl genrsa -out windows_CA.key 4096

#生成证书申请，密码：自定义
openssl req -x509 -new -nodes -key windows_CA.key -sha256 -days 8000 -out windows_CA.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=xxx/OU=xxx/CN=test"
#释义：C=国家，ST=省份，L=市，/O=单位组织，OU=部门，CN=证书名称；

#转换为个人交换文件格式
openssl pkcs12 -export -in windows_CA.crt -inkey windows_CA.key -out windows_CA.pfx

导入证书

登录目标windows主机，“开始”搜索mmc控制台

删除默认证书

导入新pfx证书，输入自定义密码

提前复制指纹

新证书添加NETWORK SERVICE权限



保存下

修改注册表

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "SSLCertificateSHA1Hash" /t REG_BINARY /d 指纹 /f

创建定时任务

以上命令写入bat文件，在“定时任务”创建reg-ca任务，每次开机启动执行该脚本。

验证

再次远程时使用的是新证书。

吐槽

官方平台收录该漏洞竟然没有修复办法。