Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)前提条件--远程桌面服务配置和授权激活
Windows Server是由微软开发的操作系统系列,专为服务器环境设计,用于管理网络、数据存储和应用程序的运行。它为企业和组织提供了稳定、可靠的服务器平台,支持各种规模的网络基础设施。
近日,网络上爆出核弹级别安全漏洞,Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器**权限。由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。然而该漏洞利用却有前提条件,**是需利用135端口,这一端口在之前爆出永恒之蓝漏洞时,各单位基本上都已经进行了封堵,所以能利用漏洞(CVE-2024-38077)的机器数量应该比之前爆出永恒之蓝时的数据要低很多。第二是需要开启RDL,也就是服务器需要配置了远程桌面服务配置和授权激活。一般电脑都只开启了远程桌面,并没有开启RDL,所以数量应该并不多。下面介绍下服务器如何开启远程桌面服务配置和授权激活。
远程桌面服务配置和授权激活是Windows Server操作系统中一个重要的功能,它允许用户通过网络远程访问和控制服务器。这一功能对于系统管理员、远程工作者以及需要远程技术支持的用户来说尤为重要。
1、远程服务安装和配置
服务器管理器--》角色--》添加角色:选择”远程桌面服务“,下一步
选择角色服务:”远程桌面会话主机“和”远程桌面授权“,下一步
选择”不需要使用网络级别身份认证“,下一步
选择”以后配置“,下一步
默认情况只有Adminisstratrors组可以连接到RD会话主机服务器(如果有特别需要请添加需要的用用户或组),下一步
安装,安装完成后点击”关闭“,跳出重启服务提示框,选择”是“自动重启服务器,或者选择”否“手动重启服务器,服务器重启后登陆会自动跳出角色服务配置窗口,自动配置完成后点击”关闭“。管理工具--》远程桌面服务--》远程桌面会话主机配置;
在右侧窗口中双击”限制每个用户只能进行一个会话“,在”属性“中取消勾选”限制每个用户只能进行一个会话“,确定
在完成以上配置后Windows服务器已经可以实现多个用户同时远程登录或同一用户多个远程登录,但是依然面临一个问题:120天后远程桌面授权过期。
远程桌面服务安装好之后使用的是120天临时授权,所以会跳出以下提示,接着我们在第二部介绍远程桌面授权的激活。
2.远程桌面授权激活
管理工具--》远程桌面服务--》RD授权管理器;由于我们的RD授权服务器还未激活,所以授权服务器图标右下角显示红色x号;
右击授权服务器--》激活服务器,下一步
输入注册信息(必填选项),下一步
可选信息无需输入,直接下一步
默认已经勾选”立即启动许可证安装向导“,直接下一步
许可证计划选择”企业协议“,下一步
输入协议号码:6565792,下一步 (如果自己没有许可证,那么就输入6565792,4954438,6879321或者5296992)
产品版本:”windows server 2008或windows server 2008 r2“,许可证类型:”TS或RDS每用户CAL“,数量:输入你想允许的**远程连接数量,下一步
点击完成,RD授权服务器已经激活,图标也由红x变为绿v。
**配置远程桌面会话主机授权服务器
在服务器管理中,点击工具--远程桌面服务--RD授权诊断程序,查看当前服务器授权状态。
运行‘gpedit.msc’,打开计算机本地组策略,选择计算机配置--管理模板--widows组件--远程桌面服务--远程桌面会话主机--授权,找到‘使用指定的远程桌面许可服务器’和‘设置远程桌面授权模式’
设置‘使用指定的远程桌面许可服务器’为启用,并在‘要使用的许可服务器’中,设置当前服务器的ip或者主机名
启用‘设置远程桌面授权模式’,设置授权模式为‘按用户’
在远程桌面会话主机下,找到‘连接’,设置‘限制连接的数量’和取消‘将远程桌面服务用户限制到单独的远程桌面’