ฉันจะปิดใช้งาน TLS 1.0 โดยไม่ทำลาย RDP ได้อย่างไร

ประมวลผลบัตรเครดิตของเราเพิ่งแจ้งให้เราว่าเป็นของ 30 มิถุนายน 2016 เราจะต้องปิดการใช้งาน TLS 1.0 จะยังคงมาตรฐาน PCI ฉันพยายามเป็นเชิงรุกโดยการปิดการใช้งาน TLS 1.0 บนเครื่อง Windows Server 2008 R2 ของเราเท่านั้นที่จะพบว่าทันทีหลังจากรีบูตฉันไม่สามารถเชื่อมต่อกับมันผ่านทาง Remote Desktop Protocol (RDP) ได้อย่างสมบูรณ์ หลังจากการวิจัยบางอย่างปรากฏว่า RDP รองรับ TLS 1.0 เท่านั้น (ดูที่นี่หรือที่นี่ ) หรืออย่างน้อยก็ไม่ชัดเจนว่าจะเปิดใช้งาน RDP ผ่าน TLS 1.1 หรือ TLS 1.2 ได้อย่างไร ใครรู้วิธีปิดใช้งาน TLS 1.0 บน Windows Server 2008 R2 โดยไม่ทำลาย RDP Microsoft plan รองรับ RDP ผ่าน TLS 1.1 หรือ TLS 1.2 หรือไม่?

หมายเหตุ: มีที่ดูเหมือนจะเป็นวิธีที่จะทำโดยการกำหนดค่าเซิร์ฟเวอร์ที่จะใช้การรักษาความปลอดภัยชั้น RDPแต่ที่ปิดการใช้งานเครือข่ายระดับรับรองความถูกต้องซึ่งดูเหมือนว่าการซื้อขายหนึ่งชั่วร้ายอีก

อัปเดต 1 : Microsoft ได้แก้ไขปัญหานี้แล้ว ดูคำตอบด้านล่างสำหรับการอัพเดทเซิร์ฟเวอร์ที่เกี่ยวข้อง

UPDATE 2 : ไมโครซอฟท์ได้เปิดตัวการกวดวิชาเกี่ยวกับการสนับสนุน SQL Server สำหรับ PCI DSS 3.1

Microsoft เปิดตัวโปรแกรมแก้ไขสำหรับปัญหานี้ 15 ก.ย. 2558

ดูhttps://support.microsoft.com/en-us/kb/3080079

ฉันได้ตรวจสอบเรื่องนี้เป็นเวลาสองสามวันแล้วเนื่องจากเราต้องปฏิบัติตาม PCI-DSS 3.1 ซึ่งต้องปิดการใช้งาน TLS 1.0

เราไม่ต้องการถอยกลับไปใช้ RDP Security Layer ซึ่งเป็นข้อกังวลด้านความปลอดภัยที่สำคัญ

ในที่สุดฉันก็สามารถค้นหาเอกสารบางอย่างที่ยืนยันว่า RDP สนับสนุน TLS 1.1 และ TLS 1.2 เอกสารนี้จะซ่อนอยู่ในการเข้าสู่ระบบ SChannelและกำหนดรายละเอียดมากสำหรับ RDP

มีเอกสารกระแสหลักที่ขาดหายไปอย่างสมบูรณ์ใน Technet หรือไซต์ Microsoft อื่น ๆ ที่ดูเหมือนว่าหวังว่าการทำเอกสารที่นี่จะช่วยให้บางคน

สารสกัดที่เกี่ยวข้องจากลิงก์ที่ให้ไว้:

จากลิงก์ MSDN:

"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"

จากข้อกำหนด RDP PDF:

"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"

"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5:  TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"

ดังนั้นจะสรุปได้ว่าคุณสามารถใช้ TLS 1.1 หรือ 1.2 บน Windows Server 2008 R2 ตามเอกสารนี้

อย่างไรก็ตามการทดสอบของเราได้พิสูจน์แล้วว่าไม่ได้ใช้งานได้จากไคลเอนต์ Windows 7 RDP (เวอร์ชั่น 6.3.9600) เมื่อปิดใช้งาน TLS 1.0 และตัวเลือกความปลอดภัย RDP ถูกตั้งค่าให้ต้องใช้ TLS 1.0

นี้เป็นหลักสูตรเช่นเดียวกับการเปิดใช้งาน TLS 1.1 และ 1.2 ซึ่งถูกปิดโดยเริ่มต้นใน 2008R2 - บังเอิญเราทำเช่นนี้โดยใช้ประโยชน์มากเครื่องมือ IIS Crypto จาก Nartac ซอฟแวร์

เมื่อดูที่ปัญหานี้จะเป็นประโยชน์ในการเปิดใช้งานการบันทึก SChannel เพื่อดูรายละเอียดเพิ่มเติมว่าเกิดอะไรขึ้นเมื่อเปิดเซสชันของคุณ

คุณสามารถตั้งค่าการบันทึก SChannel ได้โดยการเปลี่ยนคีย์ HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging key เป็น 5 และรีบูตเครื่อง

เมื่อดำเนินการเสร็จแล้วคุณสามารถสังเกตเห็นเหตุการณ์ SChannel ซึ่งแสดงเวอร์ชัน TLS ที่ใช้เมื่อทำการเชื่อมต่อ RDP เมื่อเปิดใช้งานการบันทึกคุณสามารถสังเกตเห็นข้อผิดพลาด SChannel เมื่อไคลเอนต์ RDP พยายามสร้างการเชื่อมต่อบน Windows 2008 R2 โดยปิดใช้งาน TLS 1.0:

A fatal error occurred while creating an SSL server credential. The internal error state is 10013.

ฉันได้ทดสอบการปิดใช้งาน TLS 1.0 บน Windows Server 2012 และ 2012 R2 ซึ่งฉันสามารถยืนยันได้ว่าทำงานได้อย่างสมบูรณ์โดยใช้ไคลเอนต์ Windows 7 RDP รายการบันทึก SChannel แสดงการใช้ TLS 1.2:

An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.

   Protocol: TLS 1.2
   CipherSuite: 0xC028
   Exchange strength: 256

ฉันหวังว่านี่จะช่วยให้คนที่กำลังมองหาการชี้แจงในเรื่องนี้

ฉันจะค้นหาวิธีที่เราจะให้ RDP ทำงานบน TLS 1.1 และ TLS 1.2 ใน Windows Server 2008 R2 ต่อไป

อัปเดต: 2015-AUG-05

เรายกปัญหาของ RDP ที่ไม่ทำงานกับ Server 2008 R2 ด้วยการสนับสนุนของ Microsoft รวมถึงขั้นตอนในการทำซ้ำ

หลังจากผ่านไปหลายสัปดาห์ไปข้างหน้าและต่อมาเราได้รับโทรศัพท์วันนี้จากทีมสนับสนุนเพื่อรับทราบว่าพวกเขาสามารถทำซ้ำได้และตอนนี้จัดเป็นข้อผิดพลาด จะมีการเปิดตัวอัปเดตการอัปเดตในเวลานี้คาดว่าจะเกิดขึ้นในเดือนตุลาคม 2558 ทันทีที่ฉันมีบทความ KB หรือรายละเอียดอื่น ๆ ฉันจะเพิ่มพวกเขาในโพสต์นี้

หวังว่าผู้ที่ติดอยู่กับ Windows Server 2008 R2 จะสามารถแก้ไขปัญหานี้ได้อย่างน้อยก่อนถึงเส้นตายของเดือนมิถุนายน 2559 เมื่อแพทช์เปิดตัว

อัปเดต: 19 กันยายน 2558

ในที่สุดไมโครซอฟท์ได้เผยแพร่บทความสนับสนุน kb เกี่ยวกับเรื่องนี้ที่นี่และฉันสามารถยืนยันได้ว่าทำงานได้ดี

ใช้ IPsec แทนตามที่เอกสารแนะนำ: "การตั้งค่าเซสชันที่เข้ารหัสอย่างยิ่งก่อน (เช่นช่องสัญญาณ IPsec) จากนั้นส่งข้อมูลผ่าน SSL ภายในอุโมงค์ที่ปลอดภัย"

เหตุผลหลักในการทำเช่นนี้ผ่านการกำหนดค่า TLS สำหรับ RDP คือนโยบายไฟร์วอลล์นั้นได้รับการตรวจสอบอย่างง่ายดายสำหรับการปฏิบัติตามกฎระเบียบ (เทียบกับการพิสูจน์ว่าการเปลี่ยนแปลงรีจิสทรีเป็นไปตามข้อกำหนด) และ IPsec นั้นค่อนข้างง่ายต่อการกำหนดค่าใน Windows

หากคุณต้องการใช้ชุดการปฏิบัติตาม B ชุดเต็ม IPSEC กับ tls 1.0 เป็นวิธีเดียวที่สามารถใช้ได้กับความยาวใบรับรองที่เหมาะสม

นี่ไม่ใช่คำตอบสำหรับคำถาม แต่สำหรับคำถามย่อย "ฉันจะคืนค่าการเข้าถึงระยะไกลไปยังเครื่องเสมือนที่ฉันปิดใช้งาน TLS 1.0 และไม่มีการเข้าถึงทางกายภาพได้อย่างไร"

ฉันปิดใช้งาน TLS 1.0 โดยใช้ IISCrypto ซึ่งให้คำเตือนที่เป็นประโยชน์เกี่ยวกับผลข้างเคียงที่ RDP จะหยุดทำงานหากตั้งค่าเป็น TLS ดังนั้นฉันเช็คอิน:

Admin Tools\Remote Desktop Services\Remote Desktop Session Host Configuration, RDP-Tcp, General Tab, Security Layer

และระดับความปลอดภัยของฉันถูกตั้งค่าเป็น "เจรจาต่อรอง" ฉันถือว่านี่หมายความว่าหาก TLS ไม่พร้อมใช้งานมันจะลดระดับลงอย่างงดงามต่อความปลอดภัย RDP

แต่ไม่การเจรจาไม่ทำงาน คุณต้องตั้งค่าระดับความปลอดภัยเป็นความปลอดภัย RDP ไม่ใช่ลบก่อนที่คุณจะปิดใช้งาน TLS 1.0

ดังนั้นฉันจึงสูญเสียความสามารถในการเชื่อมต่อระยะไกลกับอินสแตนซ์ AWS ของฉัน!

ในการเชื่อมต่ออีกครั้งฉันใช้อินสแตนซ์ AWS อื่น

1. ฉันอัปเดตกลุ่มความปลอดภัยเพื่ออนุญาตการเชื่อมต่อไฟร์วอลล์จากเครื่องนั้นไปยังเครื่อง "หลงทาง" ของฉัน
2. ฉันเปิดเครือข่ายการดูแลระบบร่วมกันใน DOS ด้วยผู้ใช้ผู้ดูแลระบบและรหัสผ่าน:

net use \\lost_machine_ip\c$

3. จากนั้นฉันก็เปิด Regedit และในเมนูไฟล์ให้เลือก "Connect Network Registry" และใส่ IP ของเซิร์ฟเวอร์ "หลงทาง" คุณควรเห็นรีจิสตรีเซิร์ฟเวอร์ระยะไกล ไปที่ :

\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

และตั้งค่าSecurityLayerเป็น 0 (0 คือ RDP Security)

จากนั้นคุณจะสามารถเชื่อมต่อระยะไกลและเปิดใช้งาน TLS 1.0 อีกครั้งใน IISCrypto หากต้องการ

คุณจะต้องติดตั้ง RDP 8.0 บนคอมพิวเตอร์ที่ใช้ Windows 7 และเซิร์ฟเวอร์ Windows Server 2008 R2 ของคุณจากนั้นเปิดใช้งาน RDP 8.0 บนนโยบายเครื่องคอมพิวเตอร์หรือนโยบายกลุ่ม

นี่คือ Microsoft KB สำหรับ RDP 8.0 https://support.microsoft.com/en-us/kb/2592687

เมื่อเสร็จแล้วคุณควรจะสามารถปิดการใช้งาน TLS 1.0 บนคอมพิวเตอร์และเซิร์ฟเวอร์โดยการแก้ไขรีจิสทรีตามคำแนะนำในบทความด้านเทคนิคนี้ https://technet.microsoft.com/en-us/library/dn786418.aspx

หลังจากติดตั้ง RDP 8.0 แล้วคุณยังสามารถติดตั้ง RDP 8.1 ได้ แต่จะต้องติดตั้ง RDP 8.0 ก่อนที่จะติดตั้ง RDP 8.1 RDP 8.0 มีทั้งไคลเอ็นต์และส่วนประกอบโปรโตคอลด้านเซิร์ฟเวอร์ แต่ RDP 8.1 มีเฉพาะไคลเอ็นต์ Microsoft KB สำหรับ RDP 8.1 คือ KB2830477

ฉันทำการเปลี่ยนแปลงเหล่านี้ในหนึ่งในเวิร์กสเตชัน windows 7 ของฉันและทดสอบการเชื่อมต่อ RDP ด้วยการตั้งค่านโยบายกลุ่ม "ต้องการใช้เลเยอร์ความปลอดภัยเฉพาะสำหรับการเชื่อมต่อระยะไกล (RDP)" และเปิดใช้งาน "SSL (TLS 1.0)" เพื่อให้แน่ใจว่า จะไม่ถอยกลับไปใช้การเข้ารหัส RDP

อัพเดท 6/19/2015:

ในที่สุดฉันก็มีโอกาสทดสอบสิ่งนี้กับเซิร์ฟเวอร์ Windows Server 2008 R2 ของเราและมันจะหยุดการเชื่อมต่อ RDP กับเซิร์ฟเวอร์อย่างแน่นอน ดูเหมือนว่าส่วนประกอบของเซิร์ฟเวอร์ RDP 8.0 ติดตั้งในคอมพิวเตอร์ที่ใช้ Windows 7 เท่านั้นและไม่ได้รับการติดตั้งบนเซิร์ฟเวอร์ Windows Server 2008 R2

โพสต์ในวิธีการปิดการใช้งาน TLS 1.0 โดยไม่ทำลาย RemoteApps บนเซิร์ฟเวอร์ 2012 R2แต่ทำการโพสต์ใหม่ที่นี่เพื่อประโยชน์ของผู้ที่อาจไม่ได้ตรวจสอบลิงค์นั้น:

หลังจากผ่านไปเกือบหนึ่งปีในที่สุดฉันก็พบโซลูชันที่ใช้งานได้สำหรับการปิดใช้งาน TLS 1.0 / 1.1 โดยไม่ทำลายการเชื่อมต่อ RDP และ Remote Desktop Services และเปิดตัว RemoteApps:

เรียกใช้ IISCrypto และปิดใช้งาน TLS 1.0, TLS 1.1 และ ciphers ที่ไม่ดีทั้งหมด

บนเซิร์ฟเวอร์บริการเดสก์ท็อประยะไกลที่รันบทบาทเกตเวย์เปิดนโยบายความปลอดภัยในพื้นที่และไปที่ตัวเลือกความปลอดภัย - การเข้ารหัสระบบ: ใช้อัลกอริทึมที่เข้ากันได้กับ FIPS สำหรับการเข้ารหัสการแฮชและการลงชื่อ เปลี่ยนการตั้งค่าความปลอดภัยเป็นเปิดใช้งาน รีบูตเครื่องเพื่อให้การเปลี่ยนแปลงมีผล

โปรดทราบว่าในบางกรณี (โดยเฉพาะถ้าใช้ใบรับรองที่ลงชื่อด้วยตนเองใน Server 2012 R2) ตัวเลือกนโยบายความปลอดภัยเครือข่ายความปลอดภัย: ระดับการรับรองความถูกต้องของ LAN Manager อาจต้องตั้งค่าเป็นส่งการตอบสนอง NTLMv2 เท่านั้น

เพียงอัปเดตเกี่ยวกับสิ่งนี้หากใครก็ตามที่กำลังมองหาข้อมูลอยู่ สำหรับกล่อง 64 บิต Windows 7 ของฉันฉันต้องติดตั้ง KB2574819 (ก่อน) และ KB2592687 (ที่สอง) Windows 7 ต้องติดตั้ง SP1 ก่อนที่จะติดตั้ง 2 pkgs เหล่านั้น หากคุณมีปัญหาในการติดตั้ง SP1 เช่นเดียวกับฉันฉันต้องถอนการติดตั้ง KB958830 ก่อนจากนั้นจึงติดตั้ง SP1

สำหรับกล่อง Windows Server 2008 R2 ของฉันฉันต้องติดตั้ง KB3080079 เมื่อคุณทำเช่นนี้และมีการตั้งค่าที่เหมาะสมทั้งหมดสำหรับการสื่อสารที่ปลอดภัยแล้วมันจะใช้ TLS 1.2 คุณสามารถยืนยันได้โดยใช้ Wireshark เพื่อทำการจับการสื่อสารระหว่างสองกล่องของคุณ

ฉันใช้ rdesktop ( http://www.rdesktop.org ) สำหรับ Linux เพื่อแก้ไขปัญหานี้แล้ว

กรณีหนึ่งที่ไม่ครอบคลุมโดยคำตอบที่มีอยู่: Windows 7 ลูกค้าเชื่อมต่อผ่าน RDP เกตเวย์จะยังคงใช้ TLS 1.0 เมื่อเชื่อมต่อกับประตูและล้มเหลวถ้าประตูไม่สนับสนุน TLS 1.0 แม้หลังจากใช้KB3080079 , เป็นข้อสังเกตในฟอรั่ม TechNet นี้ .

ในการใช้ TLS 1.2 สำหรับการเชื่อมต่อผ่านเกตเวย์ RDP ต้องแน่ใจว่าติดตั้งKB3140245และเพิ่มรีจิสตรีคีย์ต่อไปนี้ (บันทึกในไฟล์ที่มี.regนามสกุลที่จะนำเข้า):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

ดังที่บันทึกในKB3140245สิ่งนี้จะแทนที่WINHTTP_OPTION_SECURE_PROTOCOLSการใช้ TLS 1.2 (และ TLS 1.2 เท่านั้น) โดยค่าเริ่มต้น ดังนั้นโปรดระวังว่ามันจะส่งผลกระทบมากกว่าเพียงแค่ไคลเอนต์ RDP

(หมายเหตุ: หากต้องการความเข้ากันได้แบบย้อนหลังdword:00000800สามารถเปลี่ยนเป็นdword:00000A00หรือdword:00000A80รวม TLS 1.1 และ 1.0 ตามลำดับ)