该漏洞影响范围包括Windows XP，Windows 7、WIN2003、WIN2008r2。2019年5月微软表示这些系统的远程桌面服务中一个关键远程执行代码存在漏洞，可能会被类似于此前流行的WannaCry所利用。至于Win8、Win10、Win2012、WIN2016、WIN2019等系统不受此漏洞的影响(下面的安全设置教程适用于所有的Windows系统)。该漏洞很严重，只要你服务器的系统是WIN2003(XP)、WIN7、WIN2008R2，并开启了远程桌面就可能被直接入侵，类似永恒之蓝的445端口的漏洞。不需要暴力破解口令了，发个特制命令直接入侵服务器！

如果你系统是Windows XP SP3(中文简体)请下载： 
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

如果你系统是Windows Server 2003 (32位系统)请下载： 
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

如果你系统是Windows Server 2003 x64(64位系统)请下载： 
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

如果你系统是Win7 x86(32位系统)请下载
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

如果你系统是Win7 x64(64位系统)请下载
 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

如果你系统是Windows Server 2008 R2请下载
 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

其他和远程桌面相关的安全设置(也适用开启了远程桌面服务的所有Windows系统)：
一：修改远程桌面连接为FIPS(3des)加密

WIN2008R2中在服务器里依次打开->“开始”->“所有程序”->“管理工具”->“远程桌面服务”->“远程桌面会话主机配置”

（如果是WIN2003系统的服务器是->“开始”->“所有程序”->“管理工具”->“终端服务配置” ）

在左窗格中，单击“连接”，再在右窗格中，右键单击“RDP-tcp”，选择“属性” 

在“常规”选项卡中“加密级别”从“客户端兼容”修改为“符合FIPS标准”，然后单击“确定”，重启后生效。
WIN2012或以上系统没有这个设置

二：服务器安全加固限制远程桌面登录的用户组或用户
将Windows系统默认的“Administrators”(管理员组)和“Remote Desktop Users”，只保留“Administrators”。
或加上“Administrator”单管理员用户,删除管理组“Administrators”和“Remote Desktop Users”，这样只有单个管理员用户才能远程桌面。
我一般只保留一个超级管理员用户administrator的单用户能远程桌面登陆(不是administrators管理员组)
执行secpol.msc，安全设置下的菜单“本地策略”--“用户权限分配”--双击“允许通过远程桌面服务登陆”(不同的系统可能项目名称不同)

三：服务器远程桌面验证级别设置
执行secpol.msc，安全设置下的菜单“本地策略”--“安全选项”--双击“网络安全:LAN管理器身份验证级别”
将其修改为仅发送NTLMv2响应。拒绝LM个NTLM(&)

四：系统加密级别设置（如果是你本地电脑也可以这样设置加强你电脑的系统加密,提高电脑的安全性）
在执行下面操作前要确保Remote Desktop Configuration和Workstation这2个服务是启动(正在运行)状态否则设置下面设置后重启服务器就无法远程了
执行命令services.msc就可以打开服务管理面板查看Remote Desktop Configuration和Workstation这2个服务的状态
在服务管理面板中右键点击上面2个服务选属性，将其启动类型修改为自动，然后点击启动，再点击确定保存设置。

接下来执行命令secpol.msc，安全设置下的菜单“本地策略”--“安全选项”--双击“系统加密：将FIPS兼容算法用于加密、哈希和签名”

再执行命令gpedit.msc，安全设置下的菜单打开“本地组策略编辑器”->计算机配置->管理模板->网络->SSL配置设置->在“SSL密码套件顺序”选项上，右键“编辑”->在“SSL密码套件顺序”选在“已禁用（D）” ，点击“应用”、“确定”，即可

然后执行命令mmc，打开“管理控制台”->“文件”->“添加/删除管理单元（M）”->在“可用的管理单元”下选择“证书”->单击“添加”->在“证书管理单元”中选择“计算机用户（C）”，点击“下一步”->在“选择计算机”中选择“本地计算机（运行此控制台的计算机）（L）”，单击“完成”->回到“添加/删除管理单元”，单击“确定”->回到“控制台”->“证书（本地计算机）”->“远程桌面”->“证书”->在默认证书上右键“删除”即可。

重启服务器后生效

重启服务器后，再远程桌面进服务器一次，将Remote Desktop Configuration和Workstation这2个服务禁用，会很大提高服务器安全！
执行命令services.msc在服务管理面板中右键点击上面2个服务选属性，将其启动类型修改为禁用，然后点击停止，再点击确定保存设置。
如果是你本地电脑并且没开启远程桌面服务就请直接在本地电脑设置就可以了,不需要远程桌面进入设置(上面需要远程桌面进入设置是因为需要生成新的CA证书,在关闭Remote Desktop Configuration服务后不影响远程桌面的再次登陆)。

五：修改默认的远程桌面端口(远程桌面端口默认是3389,我们修改为其他端口会提高服务器的安全性)
远程桌面端口修改工具见 请在本站搜索