10《Microsoft Windows远程桌面协议中间人攻击漏洞》解决方案V1

解决电脑被黑客攻击和数据泄露的窍门和防范措施在当今数字化时代，电脑已经成为我们生活中不可或缺的一部分。

然而，随着科技的不断发展，黑客攻击和数据泄露的威胁也变得越来越严重。

为了保护个人和机构的信息安全，我们需要采取一些窍门和防范措施。

本文将为您介绍一些解决电脑被黑客攻击和数据泄露的方法。

首先，保持操作系统和软件的更新是非常重要的。

黑客通常利用操作系统和软件中的漏洞来入侵电脑系统。

因此，及时安装操作系统和软件的更新补丁是防范黑客攻击的重要一步。

此外，定期更新防病毒软件和防火墙也是必不可少的。

这些软件可以及时检测和阻止潜在的威胁，确保电脑系统的安全。

其次，设置强密码是保护个人信息安全的关键。

使用强密码可以大大降低黑客破解密码的可能性。

一个强密码应该包含字母、数字和特殊字符，并且长度至少为8个字符。

此外，为了增加密码的安全性，我们还可以使用双因素身份验证。

这种方法需要输入密码之外，还需要提供其他验证信息，如指纹或手机验证码，以确保只有授权用户可以访问电脑。

第三，备份数据是防范数据泄露的重要手段。

无论是因为黑客攻击还是其他原因，数据丢失都可能发生。

因此，定期备份数据至外部存储设备或云存储是非常必要的。

这样，即使发生数据泄露，我们也能够快速恢复数据，并减少损失。

此外，保护个人隐私也是防范黑客攻击和数据泄露的关键。

我们应该避免在不可信的网站上输入个人信息，尤其是银行账号、信用卡号等敏感信息。

此外，谨慎对待来自陌生人的电子邮件、短信和电话，以免成为网络钓鱼的受害者。

如果收到可疑的信息，我们应该及时报告给相关机构，以便他们采取相应的措施。

最后，教育和意识提高也是防范黑客攻击和数据泄露的重要因素。

我们应该定期关注网络安全的最新动态，并了解常见的网络诈骗手段。

此外，我们还可以参加网络安全培训课程，提高自己的网络安全意识和技能。

只有通过不断学习和提高，我们才能更好地保护自己和他人的信息安全。

综上所述，解决电脑被黑客攻击和数据泄露的窍门和防范措施包括保持操作系统和软件的更新、设置强密码、定期备份数据、保护个人隐私以及教育和意识提高。

如何解决常见远程桌面连接问题工作中可能会遇到很多远程桌面连接问题，包括网络故障、安全证书问题、身份验证问题和容量限制。

你可以通过以下远程桌面故障排查分析来预防和解决这些问题。

一、网络故障缺少有效的通信路径可能会阻止客户端连接到远程桌面会话。

诊断此问题的最简单方法是排除法。

首先，尝试通过曾成功连接的客户端建立会话。

这样做的目的是确定问题是特定于单个客户端还是特定于网络。

如果你怀疑问题在于网络，可以尝试缩小问题范围以找到根本原因。

这样，你可能会发现问题在于无线连接，但不会影响有线连接。

同样，你可能会发现这个问题针对VPN流量或特定子网。

二、防火墙问题人们通常不会认为防火墙会导致远程桌面无法工作，但其实这种情况很普遍。

为避免防火墙问题，在客户端计算机和它们连接到的服务器之间的所有防火墙中，远程桌面软件使用的端口都保持打开。

在默认情况下，基于远程桌面协议（RDP）的工具使用端口3389。

你可能需要配置多个防火墙。

例如，客户端和服务器可能都运行Windows防火墙，并且这两个系统间可能存在一个或多个硬件防火墙。

有些公共网络会阻止RDP通信，特别是对于游轮以及某些酒店、机场和咖啡店中的Wi-Fi网络。

在工作中使用RDP访问家用计算机时，防火墙问题有时也会有影响。

有些企业将自己的企业防火墙配置为阻止出站RDP通信，从而阻止与远程系统的连接。

三、SSL证书问题安全证书也可能导致远程桌面连接问题。

很多VDI产品会为访问网络外的VDI会话的用户使用套接字层（SSL）加密。

但是SSL加密需要使用证书，这会导致两个问题，从而导致远程桌面无法正常工作。

首先，如果远程桌面要正确连接，则客户端计算机必须使用信任的证书。

对于从知名机构购买证书的企业来说，这通常不是问题，但是客户端并不总是信任企业内部生成的证书。

因此，选择可靠的证书颁发机构才能确保客户端建立远程桌面连接。

客户端还必须能够验证服务器使用的证书。

如果证书已过期或证书上的名称与使用它的服务器名称不匹配，则验证过程可能会中断。

云计算中虚拟机的安全评估Aleksandar Donevski, Sasko Ristov and Marjan GusevSs. Cyril and Methodius University,Faculty of Information Sciences and Computer Engineering,Skopje, MacedoniaEmail: aleksandar.donevski@, sashko.ristov@im.mk,marjan.gushev@im.mk摘要——一个公司的安全边界是如果虚拟机迁移到云的前提下受损。

尽管云服务提供商（CSP）迁移的虚拟机提供了一定的保障水平，主要是从外部云，但是云服务消费者现在正受到新兴的挑战，由于多租户模式，即受到其他合租托管的虚拟机主机的威胁。

CSP也面临着云租户的威胁。

CSP和租户都可能因云的脆弱性而受到拖累。

这篇论文中我们分析由其他租户和外部云造成的虚拟机安全威胁。

同时，我们比较最常见的开源云提供给特定虚拟机的安全水平。

虚拟机的安全评估在不同的操作系统上实现。

关键词：云计算，OpenStack云，安全评估，虚拟化。

1.介绍云计算市场持续增长，为客户提供各式各样的功能。

例如，客户可以将他们的数据、虚拟机或备份数据外包给存储空间无限大的云。

无论他们使用的是什么类型的云和调度模型，云服务提供商必须保证访问控制权和确保删除。

一种可能的解决方法就是将安全作为一种服务来实现和维持对云的保护，从而满足客户提出的安全水平。

云中的虚拟机实例应当不仅能防御外部的攻击，同时也要抵抗合租的租户，无论他们是来自相同的云中的物理机还是不同的云。

除了传统的性能/成本效益的资源消耗，电信运营商也应该包括在虚拟机配置由客户指定的安全要求。

选择一个私有云提供了一种可能性来控制系统的安全性，但它缺乏可扩展性和弹性特征。

从一方面来说，公共云的使用提供了高扩展性和弹性，但从另一个方面是受安全由于大部分的控制已经转移到CSP。

微软Windows操作系统漏洞案例分析在计算机领域中，操作系统是一种核心软件，它控制并管理计算机系统的硬件和软件资源。

然而，即使由全球领先的技术公司微软开发和维护的Windows操作系统也并非完美无缺，经常会被发现存在各种漏洞。

本文将对一些微软Windows操作系统漏洞案例进行深入分析，探讨造成这些漏洞的原因以及微软的应对措施。

漏洞一：Conficker蠕虫病毒漏洞Conficker蠕虫病毒是在2008年发现的一种针对Windows操作系统的网络蠕虫。

它利用了Windows操作系统中的漏洞进行传播，迅速感染了全球数百万台计算机。

这个漏洞的严重性在于它可以突破用户密码，获取管理员权限，并以此控制被感染计算机上的操作。

造成Conficker蠕虫病毒漏洞的原因主要有两点。

一是微软在发布Windows操作系统时未能及时识别和修复相关漏洞，导致黑客利用了这些弱点进行攻击。

二是一些用户忽视了操作系统的安全更新以及安装有效的防病毒软件等措施，为黑客入侵提供了可乘之机。

微软针对Conficker蠕虫病毒漏洞采取了多种措施进行应对。

首先，他们修复了Windows操作系统中被利用的漏洞，并提供了相应的安全更新，用户可以通过自动更新系统来获得这些修补程序。

其次，微软还加强了对恶意软件的检测和清除能力，以便用户及时发现和清除被感染的计算机。

此外，微软还积极与政府、反病毒厂商和互联网服务提供商等各方合作，共同打击Conficker蠕虫病毒的传播。

漏洞二：永恒之蓝（EternalBlue）漏洞永恒之蓝是一种利用微软Windows操作系统远程执行代码的漏洞，该漏洞于2017年被曝光。

该漏洞的严重性在于黑客可以利用它在计算机网络间迅速传播恶意软件，从而导致整个网络受到破坏。

造成永恒之蓝漏洞的原因是微软的某些操作系统版本没有及时修复相关的安全漏洞，使黑客有机可乘。

此外，该漏洞的爆发也提醒了用户重视操作系统的安全性，及时更新系统和安装补丁程序等。

Windows系统的常见系统安全漏洞及修复方法Windows系统作为广泛使用的操作系统，其安全性一直备受关注。

然而，由于其庞大复杂的代码和广泛的应用领域，Windows系统也存在一些常见的系统安全漏洞。

本文将介绍几个常见的漏洞，并提供相应的修复方法，以帮助用户提升系统的安全性。

一、系统漏洞1：缓冲区溢出漏洞缓冲区溢出是一类最常见的漏洞之一，通过向缓冲区写入超过其容量的数据，攻击者可以执行恶意代码或篡改系统数据。

修复方法包括：1. 更新系统补丁：微软定期发布安全补丁来修复已知的缓冲区溢出漏洞，用户应及时安装最新的系统更新。

2. 输入校验：开发人员应在编写代码时，对用户输入进行严格的合法性检查，以减少缓冲区溢出的潜在风险。

二、系统漏洞2：权限提升漏洞权限提升漏洞是指攻击者通过提升自己的访问权限，获取更高的系统权限。

修复方法包括：1. 最小权限原则：合理设置用户账户的权限，给予足够的权限以执行任务，但不要给予过高的权限。

2. 更新系统补丁：微软会针对已知的权限提升漏洞发布相应的安全补丁，用户应及时进行更新以修复漏洞。

三、系统漏洞3：弱密码漏洞弱密码是许多安全漏洞的源头，攻击者可以通过猜测密码或使用暴力破解技术来获取系统访问权限。

修复方法包括：1. 使用复杂密码：密码应包含大小写字母、数字和特殊字符，长度不少于8位，并且避免使用常见的字典词汇。

2. 多因素认证：启用多因素认证可以大大增加系统的安全性，即在输入密码后，还需要验证其他身份识别信息。

四、系统漏洞4：未及时更新软件漏洞许多应用程序和驱动程序也可能存在安全漏洞，攻击者可以利用这些漏洞来入侵系统。

修复方法包括：1. 定期检查更新：用户应定期检查软件和驱动程序的官方网站，下载并安装最新版本的软件以修复已知的漏洞。

2. 自动更新功能：许多软件和驱动程序提供自动更新功能，用户应及时启用该功能以便获取最新的安全修复。

总结：Windows系统的安全性对于用户和组织来说至关重要。

远程桌面发生身份验证身份验证错误要求的函数不受支
持Windows远程桌面连接
微软给出解决方案：
2022年5月8日
罪魁祸首：是由于Window将默认设置，从“易受攻击”更改为“缓解”的更新引起的。

通用解决方案：
方案一：安装补丁（强烈推荐）
本地电脑和服务器端都同时安装更新补丁，更新以后重启服务器。

win7、win2022R2：KB4103718
win8、win2022：KB4103730
win10、win2022：KB4103721
方案二：修改组策略设置（适用于window专业版以上）
打开运行：gpedit.mc
打开组策略编辑器
应用确定完之后就可以进行远程连接
方案三：删除卸载更新（适用于window10家庭版）
Window10家庭版，卸载KB4103727和KB4131372两个补丁包即可。

选择查看已安装的更新
选择你要卸载的卸载即可
补丁包需要逐个卸载，等第一个卸载完再卸载第二个，两个都卸载完毕后，重启电脑。

你又可以进行远程桌面连接了。

方案四：window10家庭版找回组策略（适用于window10家庭版）
以为window10家庭版也可以通过组策略配置就可以了，就把组策略搞了出来，进入组策略发现没有那一项，，最后还是卸载了最后的那个更新补丁
新建一个T某T文档，在里面写入
最后将后缀改为.cmd结尾即可
双机运行，等待他执行完，任意键退出即可
重启PC，运行中再输入gpedit.mc即可调出组策略编辑器，再进行方案二的操作。

竭诚为您提供优质文档/双击可除
microsoft,windows远程桌面协议中间
人攻击漏洞
篇一：系统安全加固方案-2
系统安全加固方案
文档说明
1.mandrakelinux和corporate服务器apache默认安装漏洞(cVe-20xx-1449)漏洞
1.1漏洞清单
3/18
1.2加固方案
apachegroup
升级apache1.3.19以上版本即可
1.3回(microsoft,windows远程桌面协议中间人攻击漏洞)退方案
1、做好apache备份恢复
1.4加固结果
已修复
4/18
2.memcached未授权访问漏洞【原理扫描】漏洞
2.1漏洞清单
5/18
篇二：metasploit利用溢出漏洞远控windows靶机操作指南
1网络测试环境构建
首先需要先配置好一个渗透测试用的网络环境，包括如图1所示的运行kalilinux系统的计算机，如图2所示的windowsserver20xx系统的计算机和如图3所示的运行windows7系统的计算机。

显然这三台计算机处于同一个网段中，可以相互通讯，kali系统用作攻击机，下面将在此系统上运行metasploit进行渗透测试，而windows20xx和windows7系统都是本次任务中需要进行渗透入侵的靶机，保持安装后的默认状态，没有打额外的系统安全补丁。

图1kali攻击机
图2windows20xx靶机
图3windows7靶机
2扫描靶机
在正式开始渗透之前，应该对靶机进行扫描探测工作，。

WindowsCVE-2019-0708远程桌⾯代码执⾏漏洞复现Windows CVE-2019-0708 远程桌⾯代码执⾏漏洞复现⼀、漏洞说明2019年5⽉15⽇微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌⾯服务（RDP）远程代码执⾏漏洞,该漏洞在不需⾝份认证的情况下即可远程触发,危害与影响⾯极⼤。

⽬前,9⽉7⽇EXP代码已被公开发布⾄metasploit-framework的Pull requests中,经测试已经可以远程代码执⾏。

⼆、漏洞影响版本Windows 7 for 32-bit Systems Service Pack 1Windows 7 for x64-based Systems Service Pack 1Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for Itanium-Based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows XP SP3 x86Windows XP Professional x64 Edition SP2Windows XP Embedded SP3 x86Windows Server 2003 SP2 x86Windows Server 2003 x64 Edition SP2注:Windows 8和windows10以及之后的版本不受此漏洞影响三、漏洞环境搭建攻击机:kali 2018.2靶机:win7 sp1 7061四、漏洞复现1、更新msfapt-get updateapt-get install metasploit-framework2、下载攻击套件wget https:///rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rbwget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rbwget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb wget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb 3、替换msf中相应的⽂件　cve_2019_0708_bluekeep_rce.rb 添加 /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rbrdp.rb 替换 /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rbrdp_scanner.rb 替换 /usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rbcve_2019_0708_bluekeep.rb 替换 /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb4、启动msf,加载⽂件5、搜索0708,可以看到⽂件成功加载6、利⽤漏洞,设置rhosts、target、payload7、开始执⾏exp,成功获得shell五、漏洞防御注: CVE-2019-0708热补丁⼯具”是针对“Windows远程桌⾯服务的远程代码执⾏漏洞CVE-2019-0708”推出的热补丁修复⼯具，可以针对不能直接打补丁环境，提供的临时解决漏洞问题的⽅案。

win10系统远程桌⾯提⽰“这可能是由于credssp加密数据库修正”错误的解决办法⼀、运⾏Win+R 输⼊：gpedit.msc弹出⼆、如果提⽰：Windows 找不到⽂件 'gpedit.msc'。

请确定⽂件名是否正确后，再试⼀次。

1、桌⾯新建⽂本；2修改⽂本后缀名.bat;3右键管理员权限运⾏@echo offpushd "%~dp0"dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txtdir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txtfor /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"pause运⾏完成，任意键退出。

此时可以运⾏ “gpedit.msc”了，三、配置第⼀步值还是不可以，检查注册表如果没有，就新建⽂本，编辑内容后，把后缀名改为.reg,右键管理员权限运⾏。

在远程桌⾯看⾏不。

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]"AllowEncryptionOracle"=dword:00000002四、如果还不可以，在新建⽂本，编辑内容后，把后缀改为.cmd，右键管理员权限运⾏。

Windows远程桌面服务存在高危漏洞8月教育网运行正常，未发现影响严重的安全事件。

近期教育网范围内相应的安全投诉事件数量继续呈下降趋势，这主要得益于各学校对安全工作的高度重视。

近期没有新增特别需要关注的病毒和木马程序。

针对5月爆出的Pulse Secure VPN的任意文件读取漏洞（CVE-2019-11539）的扫描攻击数量有增加趋势，攻击者可以利用该漏洞访问系统的私钥和用户口令，这些非法获取的信息可以进一步导致任意代码注入攻击。

Pulse Secure VPN在高校的用户数量较多，建议使用了该VPN的学校管理员尽快检查是否已经更新到了最新版本，避免漏洞被非法利用。

近期新增严重漏洞评述微软8月的例行安全公告修复了其多款产品存在的396个安全漏洞。

漏洞涉及Windows系统、Windows DHCP服务、Office软件、Windows图形组件、Jet 数据库等Windows平台下的应用软件和组件。

公告中需要特别关注的是Windows远程桌面服务中存在的四个高危漏洞（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。

未经身份验证的攻击者利用上述漏洞，向目标Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。

由于这些漏洞存在于RDP协议的预身份验证阶段，其利用过程无需进行用户交互操作，可被利用来进行大规模的蠕虫攻击。

目前漏洞的细节还未公布，相应的利用代码也还未出现，不过随着补丁的发布（通过对补丁的反编译可知道漏洞细节），漏洞的攻击代码很快就会出现。

类似的远程桌面漏洞（CVE-2019-0708）在5月的补丁中也出现过，目前该漏洞相关的攻击代码已经在网络上出现了多个版本。

基于上述漏洞的风险，建议用户尽快使用Windows系统的自动更新功能进行安全更新。

图源：网络最近Fortinet公司发布了FortiOS的版本更新，用于修补之前版本中存在的多个安全漏洞。

此安全更新可解决远程桌面协议中两个秘密报告的漏洞。

如果攻击者向受影响的系统发送一系列特制 RDP 数据包，则这些漏洞中较严重的漏洞可能允许远程执行代码。

默认情况下，任何 Windows 操作系统都未启用远程桌面协议 (RDP)。

没有启用 RDP 的系统不受威胁。

对于 Microsoft Windows 所有受支持的版本，此安全更新的等级为严重。

有关详细信息，请参阅本节中受影响和不受影响的软件小节。

该安全更新通过修改远程桌面协议处理内存中数据包的方式以及 RDP 服务处理数据包的方式来解决漏洞。

有关这些漏洞的详细信息，请参阅下一节漏洞信息下面特定漏洞条目的常见问题 (FAQ)小节。

建议。

大多数客户均启用了自动更新，他们不必采取任何操作，因为此安全更新将自动下载并安装。

尚未启用自动更新的客户必须检查更新，并手动安装此更新。

有关自动更新中特定配置选项的信息，请参阅 Microsoft 知识库文章 294871。

对于管理员、企业安装或者想要手动安装此安全更新的最终用户，Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。

Windows远程桌⾯爆出CredSSP漏洞
Windows平台最新发现的Credential Security Support Provider protocol （CredSSP）漏洞，可以让⿊客利⽤远程桌⾯协议（RDP）和Windows远程管理器（WinRM）远程盗窃数据或运⾏恶意代码。

CredSSP协议最初是为了在Windows主机使⽤RDP或WinRM进⾏远程连接时提供加密认证。

这个漏洞（CVE-2018-0886）是由⼀家名为Preempt Security的⽹络安全公司的研究⼈员发现，在CredSSP协议中存在⼀个逻辑加密漏洞，⿊客可以通过⽆线连接，利⽤该漏洞发起中间⼈攻击；如果能物理连⼊⽹络，还可以发起远程调⽤攻击（Remote Procedure Call），盗取计算机进程中的认证信息。

当主机或服务器使⽤Windows⾃带的RDP或WinRM协议进⾏远程连接，⿊客的中间⼈攻击就可以远程执⾏恶意代码。

⼀旦⿊客获取了连接进程中的计算机账号登录认证信息，就拥有了管理员权限可以远程执⾏代码，由于Windows域控制器服务器默认状态下开启远程调⽤服务
（DCE/RPC），因此这个漏洞对于企业的域控制器⽽⾔⾮常致命。

⽽⼤多数企业的内部⽹络都会使⽤Windows RDP协议进⾏远程登录。

Preempt的研究⼈员去年8⽉向微软报告了这个漏洞，但直到本周⼆的补丁⽇，微软才发布了该漏洞的补丁。

如果⽤户的服务器是Windows操作系统，请尽快更新系统；平时尽量不要使⽤RDP和
DCE/RPC端⼝；远程登录时尽量不要使⽤管理员帐号。

内⽹渗透测试：初探远程桌⾯的安全问题前⾔远程桌⾯对了解内⽹渗透的⼈来说可能再熟悉不过了。

在渗透测试中，拿下⼀台主机后有时候会选择开 3389 进远程桌⾯查看⼀下对⽅主机内有⽆⼀些有价值的东西可以利⽤。

但是远程桌⾯的利⽤不仅如此，本节我们便来初步汇总⼀下远程桌⾯在内⽹渗透中的各种利⽤姿势。

RDP 协议RDP，Remote Desktop Protocol，远程桌⾯协议，该协议是对国际电信联盟发布的⼀个国际标准的多通道会议协议T.120 的⼀个扩展。

远程桌⾯协议让⽤户（客户端或称“本地电脑”）连上提供微软终端机服务的电脑（服务器端或称“远程电脑”）。

⼤部分的 Windows、Linux、FreeBSD、Mac OS X 都有相应的客户端。

远程桌⾯协议在服务端默认监听TCP 3389 端⼝的数据。

远程桌⾯协议为⽤户提供了通过⽹络连接远程登录到另⼀台计算机的图形界⾯。

RDP 服务的确定和启动RDP 服务的确定注册表查询通过以下命令查询注册表来查看 RDP 服务是否开启：REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启: 1关闭, 0开启 REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Term进程查看通过以下命令来查看是否有 RDP 服务的进程：REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启: 1关闭, 0开启 REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Term端⼝扫描攻击者可以借助 Nmap 扫描来验证端⼝ 3389 是否被打开：nmap -sV -sC -p 3389192.168.93.30RDP 服务的启动如果发现 3389 并没有开启，我们使⽤以下⽅式开启它。

Windows远程桌面服务漏洞预警（CVE-2019-0708）修复步骤说明重要提示：该漏洞影响旧版本的Windows系统，包括：Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

备注：Windows 8和Windows 10及之后版本不受此漏洞影响，勿须担心这个问题。

前期准备工作：在对终端和服务器进行补丁修复之前，需要对重要资料进行备份。

回退措施：终端和服务器进行补丁修复后，均需要重启机器。

如遇无法重启，需要进入安全模式，将补丁卸载。

漏洞修复方案11、打开企业微信消息中心推送的链接：2、下载好之后打开文件夹，如下图所示：3、打开程序如下所示：（图中为win7操作系统）点击立即修复，如下图所示：4、点击修复按钮后，以下为修复过程，如下图所示：备注：弹出对话框后，点击“是”5、开始安装更新，保持电脑开机，如下图所示：6、更新安装完成之后，请点击“立即重新启动”，如下图所示：7、电脑重新启动后，重复步骤2操作，打开文件夹内：RDPScan.exe程序，重新进行检测，如下图所示：该漏洞补丁已经成功修复；1.腾讯安全专家（自行下载电脑管家）建议用户使用Windows Update或使用腾讯电脑管家、腾讯御点终端安全管理系统的漏洞修复功能完成补丁安装。

使用腾讯电脑管家修复CVE-2019-0708安全漏洞2、使用腾讯御点终端管理系统修复CVE-2019-0708安全漏洞(需自行下载）1、打开360安全卫士，如下图所示：2、点击左上角“向上按钮”，若非新版本，请升级至新版本，如下图所示：3、正在升级为最新版本，勿操作，如下图所示：4、点击上方“系统修复”按钮，并进行修复，下图为修复后的结果，证明该电脑已成功更新且安装补丁。

10《Microsoft Windows远程桌面协议中间人攻击漏洞》解决方案V1绿盟科技Microsoft Windows远程桌面协议中间人攻击漏洞解决方案注意事项: 修复该漏洞将导致原有的无加密方式的远程桌面链接到服务端无法进行，当服务端配置完成后，客户端也必须进行相应配置加密才能进行远程桌面。

如果不使用远程桌面的主机，可以关闭这个功能来解决.服务端设置:1.开始-运行-输入“SECPOL.MSC”. 选择IP安全策略(IPsec),2.选择安全策略-右击创建IP安全策略3.点击下一步,写入名称-下一步4.勾除默认规则-下一步5.勾选编辑属性-点击完成6.勾除添加向导-点击添加.7.同样勾除添加向导---写个名字-点击添加8.选择源地址为任何IP地址;目标地址为我的IP地址--选择协议选项卡9.选择协议类型:TCP 到此端口3389-点击确定10.再点击确定11.点击筛选器操作-12.点击添加:13.选择协商安全-点击添加-选择完整性和加密14.点击确定16.选择常规选项卡-修改名称-点击确定17选中刚创建的筛选器操作名称18.选择身份认证方法选项卡-点击添加19.选择使用此字符串- 密钥需要服务端和客户端一致-点击确定20.上移预共享密钥策略，点击应用.21.确保之前的策略被选中后点击确定22.勾选3389筛选器，点击确定23.右键策略名。

指派后生效.客户端设置:步骤和上面的基本上一样，除了第8步，设置成如下图所示: 注意事项: 目的地址设置为任何将导致链接未加密远程桌面失败。

可以在目标地址中选择已经加密的单个IP地址或一个网段，有多个IP段或地址可以借鉴上面第7步中多次添加。

系统安全加固方案文档说明1. Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)【原理扫描】4.1漏洞清单3/104.2加固方案1、安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe即可解决安全此安全漏洞问题。

4.3回退方案在控制面板-添加/删除程序中卸载该补丁即可4.4加固结果已经加固4/102. Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)【原理扫描】漏洞1.1漏洞清单5/101.2加固方案Windows2008和windows2003分别安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe和Windows6.1-KB2621440-x64.msu 即可解决安全此安全漏洞问题。

1.3回退方案在控制面板-添加/删除程序中卸载该补丁即可1.4加固结果已经加固3. Mongodb未授权访问漏洞【原理扫描】2.1漏洞清单6/107/102.2加固方案在ers中添加用户，启动认证。

#在admin 数据库中创建用户！xjyd 密码为xjyd!!20161、[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27017MongoDB shell version: 2.0.1connecting to: 127.0.0.1:27017/test> use adminswitched to db admin>> db.addUser("supper", "sup"){ "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }{"user" : "supper","readOnly" : false,"pwd" : "51a481f72b8b8218df9fee50b3737c44","_id" : ObjectId("4f2bc0d357a309043c6947a4") }> db.auth("supper","sup")18/10> exitbye2、在ers中添加用户，启动认证。

远程桌面协议中间人攻击漏洞解决方案Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案1.系统版本：windows server 20032.漏洞：CVE-2005-17943.修复方案：漏洞介绍:Microsoft Windows远程桌面协议用于连接Windows 终端服务。

Windows远程桌面协议客户端没有验证会话的服务器公共密钥，远程攻击者可以利用这个漏洞通过Man-in-Middle攻击方式以明文方式读取通信的所有信息。

由于客户端在连接服务器中，没有对加密钥的合法性进行正确检查，这就使的RDP存在中间人攻击问题，攻击可以按照如下方式进行：1、客户端连接服务器，但是我们通过某种方式(DNS欺骗，ARP 毒药等)使客户端连接到MITM(攻击者中间控制的机器)机器，然后MITM发送给请求到服务器。

2、服务器发送公共密钥和随机salt通过MITM，MITM发送包到客户端，但是使用MITM知道私钥部分的公钥与其进行交换。

3、客户端发送随机salt，以服务器端公钥进行加密发送给MITM。

4、MITM使用自己的私钥解密客户端随机salt，并使用实际服务器端的公钥进行加密发送给服务器。

5、MITM现在知道服务器端和客户端的salt，拥有足够信息构建会话密钥在客户端和服务器端通信。

所有信息以明文方式。

个别用户会在linux下使用一些开源的RDP组件，如果扫出该漏洞，并且3389是RDP服务，则确定存在该漏洞，不会误报。

整改方法：* Windows XP和Windows Server 2003用户使用FIPS（3des）加密；默认情况下，终端服务会话的加密级别设置为“客户端兼容”，以提供客户端支持的最高加密级别。

其他可用设置为：高 - 此设置通过 128 位密钥来提供双向安全性。

低 - 此设置使用 56 位加密。

符合 FIPS 标准 - 使用经过联邦信息处理标准 140-1 验证的方法加密所有数据。

Windows XP提供了⼀个远程管理⼯具的“远程桌⾯”服务，通过它我们就可以在异地对远程计算机进⾏操作。

它使⽤的是RDP 协议，其致命的弱点就是绑定了3389端⼝，因此很容易被扫描⼯具扫描到⽽暴露我们电脑的某些漏洞。

但是对很多需要进⾏远程操作的朋友来说，⼜不能够完全关闭它，那该怎么办呢？
其实，通过改变远程桌⾯使⽤的端⼝号就可以有效地堵住这个漏洞。

新建⼀⽂本⽂件，并输⼊如下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ctrol\Terminal Server\WinStations\RDP-Tcp]
“PortNumber”=dword：00001b62
将该⽂件另存为REG⽂件并双击导⼊到系统注册表中，重新启动计算机即可。

以上代码中的“00001b62”是修改后的端⼝号“7010”对应的16进制表⽰，可根据实际情况进⾏更改。

微软为Word 2010远程执行漏洞发布临时修复程序
根据我们最新获得的消息，微软目前正在调查Microsoft Word办公软件远程代码执行漏洞，它已经被用于针对Word 2010的网络攻击。

这也就是说用户在使用Word 2010打开黑客精心制作的RTF文档或电子邮件时，有可能遭遇远程执行代码攻击。

目前，微软已经确认包括Win RT、Mac、PC在内的所有版本Word都受到该漏洞影响，并发布Security Advisory 2953095临时修复该漏洞，将阻止计算机通过Word软件打开RTF文档。

同时用text纯文本文档，阅读电子邮件附件，避免可能遭遇的远程执行代码攻击。

而且该修复程序无需重启计算机，建议所有Word用户及时安装临时更新，以保证系统安全。

此外，微软Enhanced Mitigation Experience Toolkit (EMET) 工具包同样能够帮助抵御漏洞攻击，如果你在使用EMET 4.1的推荐设置，就无需重复额外步骤。

目前，微软已经为此漏洞展开了一系列工作，并表示将以适当行动保护用户安全，不过目前尚未确认正式补丁将会何时发布，我们将会继续关注之后的报道，敬请耐心等待。

/news/120028.html。

01-Smb远程代码执行漏洞(永恒之蓝)(MS17-010)修复方案漏洞概述SMB (Server Message Block) 是一种用于文件、打印机和相关服务的网络协议。

SMB远程代码执行漏洞，也被称为永恒之蓝(ETERNALBLUE)，是一种在Windows 操作系统上的漏洞，可让攻击者利用此漏洞远程执行恶意代码，无需用户交互。

该漏洞让攻击者能够远程勾画蓝屏崩溃、恶意软件传播、网络蠕虫攻击等活动。

漏洞修复方案Microsoft 在2017年发布了修复该漏洞的安全补丁。

以下是修复该漏洞的建议步骤：步骤一：安装最新的安全补丁•访问Microsoft官方网站，下载适用于Windows操作系统的最新安全补丁。

确保下载的补丁版本适用于您的操作系统和架构。

•双击下载的补丁文件，按照向导程序的步骤完成安装过程。

重启系统以完成安装。

步骤二：启用Windows自动更新•打开“Windows更新”设置，此设置通常位于“控制面板”或“设置”应用程序中。

•点击“检查更新”按钮，Windows将自动检查并下载可用的更新。

•在安装更新之前，您可以选择安装哪些更新。

确保选择了安全性补丁的安装。

步骤三：禁用SMB版本1推荐禁用SMB版本1，因为它在漏洞利用中常被攻击者滥用。

可以通过以下步骤禁用SMB版本1：1.打开“控制面板”，找到并打开“程序和功能”。

2.在左侧导航栏中选择“启用或关闭Windows功能”。

3.在“Windows功能”窗口中，找到“SMB 1.0/CIFS 文件共享支持”选项。

4.取消选中该选项，然后点击“确定”按钮。

5.随后系统将会提示您重启计算机以应用更改。

步骤四：使用防火墙规则限制SMB访问配置防火墙规则以限制SMB访问可以进一步加强系统的安全性。

您可以根据实际情况，配置适合您环境的防火墙规则。

以下是一般建议的SMB访问限制策略：1.只允许受信任的计算机使用SMB服务。

将防火墙规则配置为仅允许受信任的计算机的IP地址访问SMB端口，默认情况下SMB协议的端口是445。