端口：3389 | 服务：ms-wbt-server | 协议：TCP 目标主机使用了不受支持的SSL加密算法【原理扫描】 补漏洞方案

1. 确定不受支持的 SSL 加密算法
   • 首先，需要使用专业的网络扫描工具或安全评估工具来确定目标主机正在使用的具体不受支持的 SSL 加密算法。例如，可以使用 OpenSSL 命令行工具进行初步探测。命令格式如openssl s_client -connect <目标主机IP>:3389 -tls1_2（这里以 TLS 1.2 为例，你需要根据实际情况测试不同的协议版本），查看返回的加密套件信息，确定哪些是不受支持的算法。
2. 更新操作系统和远程桌面服务（RDS）软件
   • Windows 操作系统更新：
     • 确保目标主机安装了最新的 Windows 更新。微软会定期发布安全更新来修复已知的 SSL 相关漏洞和更新加密算法支持。可以通过 “设置”>“更新和安全”>“检查更新” 来手动触发更新过程。这些更新通常包含对远程桌面服务所使用的 SSL/TLS 协议的改进和修复。
   • 远程桌面服务更新：
     • 检查远程桌面服务相关组件的更新。在某些情况下，即使操作系统更新了，特定的远程桌面服务组件可能还需要单独的更新。可以关注微软官方的安全公告和更新说明，以获取有关远程桌面服务更新的信息。
3. 配置远程桌面服务的加密级别
   • 修改组策略：
     • 在目标主机上，运行 “gpedit.msc” 打开本地组策略编辑器。导航到 “计算机配置”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“安全”。
     • 找到 “设置客户端连接加密级别” 策略，将其设置为 “高” 或 “符合 FIPS 标准”（如果适用）。“高” 级别加密会使用更安全的加密算法，有助于避免使用不受支持的算法。不过，需要注意的是，提高加密级别可能会对性能产生一定影响，并且可能要求客户端也支持相应的加密级别。
   • 注册表修改（如果组策略不可用或需要更精细的控制）：
     • 可以通过修改注册表来调整远程桌面服务的加密级别。运行 “regedit” 打开注册表编辑器，找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP - Tcp” 键。
     • 修改 “MinEncryptionLevel” 的值，0 表示低加密级别（可能使用不受支持的算法），1 表示客户端兼容加密级别，2 表示高加密级别。根据需要将其设置为适当的值，如 2。但在修改注册表之前，请备份相关键值，以防出现问题。
4. 禁用旧的和不安全的 SSL 协议版本
   • 通过组策略禁用协议版本：
     • 再次打开本地组策略编辑器，导航到 “计算机配置”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“安全”。
     • 找到 “设置安全层” 策略，将其设置为 “RDP 安全层” 或 “SSL（TLS 1.0）” 以上（如 TLS 1.2 或 TLS 1.3），避免使用旧的和不安全的 SSL 协议版本，因为这些旧版本可能会使用不受支持的加密算法。
   • 手动注册表修改禁用协议版本（高级用户）：
     • 打开注册表编辑器，找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP - Tcp” 键。
     • 对于要禁用的协议版本，如 SSL 2.0 或 SSL 3.0，可以删除相关的键值（如 “SSLTLSProtocols” 中的对应协议版本）或修改其值，以排除不安全的协议版本。这种方法需要谨慎操作，因为错误的修改可能会导致远程桌面服务无法正常工作。
5. 检查和更新 SSL 证书（如果适用）
   • 确保远程桌面服务所使用的 SSL 证书是有效的、由受信任的证书颁发机构（CA）颁发的，并且支持安全的加密算法。如果证书过期或不支持安全加密，可能会导致使用不受支持的加密算法来进行连接。
   • 可以通过证书管理单元（运行 “certlm.msc”）来查看和管理 SSL 证书。如果需要更新证书，按照证书颁发机构的流程进行申请和安装新证书。在安装新证书后，确保远程桌面服务正确配置为使用新证书。