web-dev-qa-db-ja.com

RDPはBEAST攻撃の影響を受けますか?

RDPが有効になっている(無効にする必要がある)ため、PCI脆弱性スキャンに失敗したWindows 2008 R2サーバーがあります。

IISCryptoツール のPCI設定を適用しましたが、RDPを壊さないようにTLS 1.0を有効にしておく必要があります。私が見つけた唯一の「解決策」はTLSを使用しないことですが、レガシーRDPセキュリティレイヤーは安全性が低いため、ほとんど意味がありません。

別のサイトでは、CBCを使用するすべての暗号スイートを無効にすることを提案しましたが、これを行うとRDPが壊れてしまいました。私は他の提案された暗号設定も試しましたが、役に立ちませんでした(RDPも破りました)。

この投稿は、BEASTが 実際にはRDPの問題ではない であることを示しているようです。

BEASTの脆弱性を使用してRDPを侵害することはできますか?エクスプロイトはありますか、これまでに行われたことがありますか?

tlswindowspci-dssrdpbeast
3
Jim Balo

いくつかのこと:

  • あなたは興味があるかもしれません このリンク :-PCIコンプライアンススキャナーがこれらの問題について時々混乱するようです。
  • 技術的にはBeastはブラウザに適用されますが、CBCはとにかく暗号に必要なものではありません。
  • ただし、CBCモードがデフォルトです FIPS準拠のRDP とにかく:(
  • はい、間違いなくTLSが必要です。

セットアップに関するより具体的な情報がないと、RDPを壊しているものを言うのは非常に困難です(多分それはとにかくスタックオーバーフローまたはサーバー障害の種類の質問です...実際にチェックしてください this thread =

しかしながら...

  • 確かにTLS 1.xが必要です。 TLSを無効にしないでください
  • すべてのCBC暗号を取り除くために最善を尽くしてください。彼らには固有の問題があります。

まとめ

いいえ、[〜#〜] b [〜#〜][〜#〜] e [〜 #〜]xploit[〜#〜] a [〜#〜]gainst[〜#〜] s [〜#〜]SL /[〜#〜] t [〜#〜]LSは通常RDPに対して使用されませんが、CBCを無効にして、とにかくTLSを有効にする必要があります。適切な調整を行うと、最適なセットアップが可能であるように見えます。

1
baordog