Jak wyłączyć TLS 1.0 w RDP systemu Windows 2012

12

Tło: Jedyne, co mogę znaleźć, jak to zrobić, dotyczy protokołu RDP w systemie Windows 2008, który w Narzędziach administracyjnych wydaje się mieć coś o nazwie „Konfiguracja hosta sesji pulpitu zdalnego”. To NIE istnieje w systemie Windows 2012 i wydaje się, że istnieje teraz sposób, aby dodać go również za pomocą MMC. Czytam tutaj za rok 2008, używając RDS Host Config, możesz to po prostu wyłączyć.

Pytanie: Więc w Windows 2012, jak możesz wyłączyć TLS 1.0, ale nadal mieć możliwość RDP do serwera Windows 2012?

Pierwotnie rozumiem, że TYLKO TLS 1.0 był obsługiwany w Win2012 RDP . Jednak protokół TLS 1.0 zgodny z PCI nie jest już dozwolony. Zgodnie z tym artykułem miało to zostać naprawione dla systemu Windows Server 2008r2 . Nie dotyczy to jednak serwera 2012, który nie ma nawet administracyjnego interfejsu GUI do wprowadzania zmian w protokołach, z których korzysta RDP, o których jestem świadomy.

Michael Barber
źródło
Jaka jest wydajność verpolecenia?
Greg Askew,

Odpowiedzi:

7

Wyłączenie TLS to systemowe ustawienie rejestru:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Ponadto wymóg PCI dotyczący wyłączenia wczesnego TLS wejdzie w życie dopiero 30 czerwca 2016 r.


Internet Explorer to jeden znany mi produkt, który ma osobną opcję konfiguracji ustawień szyfrowania TLS / SSL. Mogą być inni.

Mam serwer Windows 2012 R2 z wyłączonym TLS 1.0 i mogę na nim zdalny pulpit.

Jeśli się zastanawiasz, poniżej znajduje się zrzut ekranu pliku tsconfig.msc na serwerze z systemem Windows 2008 R2, na którym zainstalowano KB3080079. Nie trzeba nic konfigurować, ponieważ jedyną aktualizacją było dodanie obsługi dwóch pozostałych poziomów szyfrowania TLS, dzięki czemu po wyłączeniu TLS 1.0 nadal działa.

wprowadź opis zdjęcia tutaj

Greg Askew
źródło
Twoje instrukcje dotyczą sposobu wyłączania TLS 1.0 „dla całego serwera”, a nie dla RDP. Jeśli będę ich przestrzegać, nie będę mógł uzyskać dostępu do serwera przez RDP. Może to być bardzo prawdopodobne, że RDP nadal używa TLS 1.0, mimo że jest wyłączony jako SChannel, co nieco przypomina pytanie, jak upewnić się, że został zmieniony TAKŻE lub powiadomiony z powrotem do RDP.
Michael Barber
Ok masz rację. Wygląda na to, że działa, jeśli klient RDP ma wersję 8, a nie 7,1 na KB. „Niefortunne” jest to, że Microsoft odebrał dostępną wcześniej kontrolę. Bardzo rozczarowany Win-server 2012 - wydaje się, że to krok w dół do Win-server 2008
Michael Barber
@MichaelBarber Pytałeś o Win 2012, ale twój komentarz powyżej dotyczy 2008 roku? Dla jasności, czy wyłączono TLS 1.0 w systemie Windows 2012 Standard R2 bez żadnego problemu? np. czy nadal byłeś w stanie Pulpit zdalny na serwerze?
neildt
1

Jeśli wyłączysz TLS 1.0 i chcesz, aby protokół RDP nadal działał, a następnie za pomocą lokalnego edytora zasad grupy musisz wybrać „Negocjuj” warstwę zabezpieczeń dla protokołu RDP w „Konfiguracja komputera \ Szablony administracyjne \ Windows \ Składniki \ Usługi pulpitu zdalnego \ Host sesji usług pulpitu zdalnego \ Bezpieczeństwo „„ Wymagaj użycia określonej warstwy zabezpieczeń dla połączeń zdalnych (RDP) ”. a także wybierz „Włączone”. Działa to również w 2012R2.

użytkownik346630
źródło
1

Po prawie roku w końcu wymyśliłem działające rozwiązanie do wyłączania TLS 1.0 / 1.1 bez przerywania łączności RDP i usług pulpitu zdalnego.

Uruchom IISCrypto i wyłącz TLS 1.0, TLS 1.1 i wszystkie złe szyfry.

Na serwerze usług pulpitu zdalnego z rolą bramy otwórz Lokalną politykę bezpieczeństwa i przejdź do Opcje bezpieczeństwa - Kryptografia systemu: Użyj zgodnych algorytmów FIPS do szyfrowania, mieszania i podpisywania. Zmień ustawienie zabezpieczeń na Włączone. Uruchom ponownie, aby zmiany odniosły skutek.

Należy pamiętać, że w niektórych przypadkach (szczególnie w przypadku korzystania z certyfikatów z podpisem własnym na serwerze 2012 R2) opcja Zasady bezpieczeństwa Zabezpieczenia sieci: Poziom uwierzytelniania LAN Manager może wymagać ustawienia wysyłania tylko odpowiedzi NTLMv2.

Daj mi znać, jeśli to również zadziała.

kardiotoracyka
źródło