Вопрос: Как отключить TLS 1.0 в Windows RDP


Справочная информация. Единственное, что я могу найти о том, как это сделать, относится к RDP в Windows 2008, который, похоже, имеет что-то, называемое «Конфигурация узла сеансов удаленных рабочих столов» в «Администрирование». Это НЕ существует в Windows 2012, и теперь есть возможность добавить его через MMC. Я читаю Вот за 2008 год, используя RDS Host Config, вы можете просто отключиться.

Вопрос: Итак, в Windows 2012, как вы можете отключить TLS 1.0, но все же сможете использовать RDP на сервере Windows 2012? 

Первоначально я понимаю, что ТОЛЬКО TLS 1.0 поддерживалась в Win2012 RDP, Однако TLS 1.0 в соответствии с PCI больше не допускается. Предполагалось, что это исправлено для сервера Windows 2008r2 в соответствии с Эта статья, Однако это не относится к серверу 2012, у которого даже нет административного устройства gui для внесения изменений в протоколы, которые RDP будет использовать, о которых я знаю.


8
2017-11-04 21:15


Источник


Каков результат работы ver команда? - Greg Askew


Ответы:


Отключение TLS - это системный параметр реестра:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10 

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Кроме того, требование PCI о отключении раннего TLS не вступает в силу до 30 июня 2016 года.


Internet Explorer - это один из продуктов, который, как я знаю, имеет отдельный параметр конфигурации для настроек шифрования TLS / SSL. Могут быть и другие.

У меня есть сервер Windows 2012 R2 с отключенным TLS 1.0, и я могу использовать удаленный рабочий стол.

Если вам интересно, ниже приведен снимок экрана tsconfig.msc на сервере Windows 2008 R2 с установленным KB3080079. Нечего настраивать, потому что единственное, что сделало обновление, это добавить поддержку двух других уровней шифрования TLS, чтобы при отключении TLS 1.0 он продолжает работать.

enter image description here


3
2017-11-04 21:32



В качестве инструкций вы можете отключить TLS 1.0 «server wide» и не указывать на RDP. Если я последую им, я больше не могу обращаться к серверу через RDP. Вполне возможно, что RDP по-прежнему использует TLS 1.0, несмотря на то, что он отключен как SChannel, который как раз возвращается к вопросу о том, как убедиться, что он ТАКЖЕ изменился или был отправлен обратно в RDP. - Michael Barber
Хорошо, ты прав. Похоже, что он работает, если клиент RDP находится в версии 8, а не 7.1 для КБ. «Несчастливо» Microsoft отменила этот контроль, который был доступен ранее. Очень разочарован в Win-server 2012 - он чувствует себя как шаг вниз к Win-серверу 2008 - Michael Barber
@MichaelBarber Вы спрашивали о Win 2012, но тогда ваш комментарий выше - около 2008 года? Для ясности вы отключили TLS 1.0 на Windows Standard Standard без каких-либо проблем? например, были ли вы все еще доступны для удаленного рабочего стола на сервере? - neildt


Если вы отключите TLS 1.0 и хотите, чтобы RDP продолжал работать, то с помощью локального редактора групповой политики вы должны выбрать уровень безопасности «Согласование» для RDP в «Конфигурация компьютера \ Административные шаблоны \ Windows \ Components \ Службы удаленных рабочих столов \ Узел сеансов удаленного рабочего стола \ Security "" Требуется использование определенного уровня безопасности для удаленных (RDP) соединений. " а также выберите «Включено». Это также работает в 2012R2.


0
2018-03-31 20:27





Спустя почти год я, наконец, выяснил, что вы можете отключить TLS 1.0 / 1.1 без отключения RDP и подключения к удаленному рабочему столу.

Запустите IISCrypto и отключите TLS 1.0, TLS 1.1 и все плохие шифры.

На сервере служб удаленных рабочих столов, на котором запущена роль шлюза, откройте «Локальную политику безопасности» и перейдите в «Параметры безопасности» - «Системная криптография»: используйте алгоритмы, совместимые с FIPS, для шифрования, хэширования и подписания. Измените параметр безопасности на «Включено». Перезагрузите, чтобы изменения вступили в силу.

Обратите внимание, что в некоторых случаях (особенно если вы используете самозаверяющие сертификаты на сервере Server 2012 R2), возможно, необходимо установить параметр политики безопасности Network Security: LAN Manager для отправки ответов только на ответы NTLMv2.

Дайте мне знать, если это сработает и для вас.


0
2018-02-17 15:06





У меня такая же проблема, когда я отключил TLSv1.0 в regedit Windows 2012 RDS перестает работать, пока я не включу FIPS, но когда он включит FIPS, TLSv1.0 снова появится.

Я пробовал все, что нашел в Интернете. Я думаю, что невозможно отключить TLSv1.0 в Windows 2012, не оказывая негативного влияния на службы.


0
2018-04-05 14:02



Пожалуйста, используйте функцию комментариев, если ваша почта не предоставляет решение вопроса. - SturdyErde