漏洞說明:

SSL / TLS協議是一種安全協議，目的是為互聯網通信，提供安全及數據完整性保障。該漏洞允許遠程攻擊者獲取敏感信息。

Windows Server 2008或2012、2016遠程桌面服務SSL加密默認是開啟的，且有默認的CA證書。由于SSL/ TLS自身存在漏洞缺陷，當開啟遠程桌面服務，使用漏洞掃描工具掃描，發現存在SSL/TSL漏洞。

問題解決：

命令提示符(CMD)中，輸入命令"gpedit“打開系統"本地組策路編輯器”;依次打開管理模板->網絡->SSL配置設置->SSL密碼套件順序(雙擊)

設置到已啟用，并且在SSL密碼套件中刪除默認套件，更換下面套件：

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_PSK_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

完成之后，點擊確定重啟iis或者重啟服務器生效。

測試驗證：

1，PowerShell

輸入Get-TlsCipherSuite命令會顯示現在在用的安全套件，可以檢查是否還有包含不安全的安全套件

Get-TlsCipherSuite

2，nmap

nmap -sV --script ssl-enum-ciphers -p 443 -Pn 目標IP

-sV（服務版本探測）：嘗試識別目標端口上運行的服務及其版本信息。

--script ssl-enum-ciphers（SSL 加密套件枚舉腳本）：調用 Nmap 的 ssl-enum-ciphers 腳本，檢測目標端口支持的 SSL/TLS 加密算法（如 AES、RSA、ECDHE 等）及其安全性。

-p 443 （指定端口）

-Pn（跳過主機發現）： 直接掃描目標，不發送 ICMP 探測（Ping）來確認主機是否在線