วิธีปิดใช้งาน TLS 1.0 ใน Windows 2012 RDP

12

พื้นหลัง: สิ่งเดียวที่ฉันสามารถค้นหาเกี่ยวกับวิธีการทำเช่นนี้เกี่ยวข้องกับ RDP บน windows 2008 ซึ่งดูเหมือนจะมีสิ่งที่เรียกว่า "การกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกล" ในเครื่องมือการดูแลระบบ สิ่งนี้ไม่มีอยู่ใน windows 2012 และดูเหมือนว่าจะมีวิธีเพิ่มผ่าน MMC เช่นกัน ฉันอ่านที่นี่สำหรับปี 2008 โดยใช้การกำหนดค่าโฮสต์ RDS คุณสามารถทำได้

คำถาม: ดังนั้นใน windows 2012 คุณจะปิด TLS 1.0 ได้อย่างไร แต่ยังคงสามารถ RDP เป็นเซิร์ฟเวอร์ Windows 2012 ได้อย่างไร

แต่เดิมความเข้าใจของฉันคือสนับสนุน TLS 1.0 ใน Win2012 RDPเท่านั้น อย่างไรก็ตาม TLS 1.0 ตาม PCI ไม่ได้รับอนุญาตอีกต่อไป นี้ควรได้รับการแก้ไขสำหรับ Windows Server 2008R2 ตามบทความนี้ อย่างไรก็ตามนี่ไม่ใช่ที่อยู่ของ Server 2012 ที่ไม่มีแม้แต่อุปกรณ์ gui ที่ดูแลระบบเพื่อทำการเปลี่ยนแปลงโปรโตคอลที่ RDP จะใช้ซึ่งฉันรู้

— Michael Barber
แหล่งที่มา

เอาต์พุตของverคำสั่งคืออะไร

— Greg Askew

7

การปิดใช้งาน TLS เป็นการตั้งค่ารีจิสทรีทั่วทั้งระบบ:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0

นอกจากนี้ข้อกำหนด PCI สำหรับการปิดใช้งาน TLS ก่อนหน้าจะไม่มีผลบังคับใช้จนถึงวันที่ 30 มิถุนายน 2016

Internet Explorer เป็นผลิตภัณฑ์หนึ่งที่ฉันรู้ว่ามีตัวเลือกการกำหนดค่าแยกต่างหากสำหรับการตั้งค่าการเข้ารหัส TLS / SSL อาจมีคนอื่น

ฉันมีเซิร์ฟเวอร์ Windows 2012 R2 ที่ปิดใช้งาน TLS 1.0 และฉันสามารถใช้เดสก์ท็อประยะไกลได้

หากคุณสงสัยว่าด้านล่างเป็นภาพหน้าจอของ tsconfig.msc บนเซิร์ฟเวอร์ Windows 2008 R2 ที่ติดตั้ง KB3080079 ไม่มีสิ่งใดที่ต้องกำหนดค่าเพราะสิ่งเดียวที่การอัปเดตทำได้คือเพิ่มการสนับสนุนสำหรับระดับการเข้ารหัส TLS อีกสองระดับดังนั้นเมื่อปิดใช้งาน TLS 1.0 จะยังคงทำงานต่อไป

— เกร็กเบน
แหล่งที่มา

คำแนะนำของคุณคือวิธีปิดใช้งาน TLS 1.0 "ทั้งเซิร์ฟเวอร์" และไม่เฉพาะกับ RDP หากฉันติดตามพวกเขาฉันจะไม่สามารถเข้าถึงเซิร์ฟเวอร์ผ่าน RDP อีกต่อไป นี่อาจเป็นไปได้ว่า RDP ยังคงใช้ TLS 1.0 แม้จะถูกปิดใช้งานเป็น SChannel ซึ่งกลับไปที่คำถามของวิธีการตรวจสอบให้แน่ใจว่ามีการเปลี่ยนแปลง ALSO หรือแจ้งกลับไปเป็น RDP

— Michael Barber

ตกลงคุณพูดถูก ดูเหมือนว่าจะทำงานหากไคลเอนต์ RDP อยู่ที่ ver 8 และไม่ใช่ 7.1 ต่อ KB มันเป็น "โชคร้าย" ที่ Microsoft เอาการควบคุมนี้ออกไปก่อนหน้านี้ ผิดหวังมากใน Win-server 2012 - รู้สึกเหมือนก้าวลงจาก Win-server 2008

— Michael Barber

@MichaelBarber คุณถูกถามเกี่ยวกับ Win 2012 แต่แล้วความคิดเห็นของคุณด้านบนประมาณ 2008? เพื่อความชัดเจนคุณได้ปิดใช้งาน TLS 1.0 บน Windows 2012 Standard R2 โดยไม่มีปัญหาหรือไม่ เช่นคุณยังสามารถ Remote Desktop ไปยังเซิร์ฟเวอร์ได้หรือไม่

— neildt

1

ถ้าคุณปิดใช้งาน TLS 1.0 และต้องการให้ RDP ทำงานต่อไปให้ใช้ตัวแก้ไขนโยบายกลุ่มท้องถิ่นคุณต้องเลือกเลเยอร์ความปลอดภัย "เจรจา" สำหรับ RDP ใน "คอมพิวเตอร์ Configuration \ Administrative Templates \ Windows \ Components \ Remote Desktop Services \ Remote \ Security "" ต้องใช้เลเยอร์ความปลอดภัยเฉพาะสำหรับการเชื่อมต่อระยะไกล (RDP) " และเลือก "เปิดใช้งาน" สิ่งนี้ยังใช้งานได้ใน 2012R2

— user346630
แหล่งที่มา

1

หลังจากผ่านไปเกือบหนึ่งปีในที่สุดฉันก็พบโซลูชันที่ใช้งานได้สำหรับการปิดใช้งาน TLS 1.0 / 1.1 โดยไม่ทำลายการเชื่อมต่อ RDP และ Remote Desktop Services

เรียกใช้ IISCrypto และปิดใช้งาน TLS 1.0, TLS 1.1 และ ciphers ที่ไม่ดีทั้งหมด

บนเซิร์ฟเวอร์บริการเดสก์ท็อประยะไกลที่ใช้บทบาทเกตเวย์เปิดนโยบายความปลอดภัยในพื้นที่และไปที่ตัวเลือกความปลอดภัย - การเข้ารหัสระบบ: ใช้อัลกอริทึมที่เข้ากันได้กับ FIPS สำหรับการเข้ารหัสการแฮชและการลงชื่อ เปลี่ยนการตั้งค่าความปลอดภัยเป็นเปิดใช้งาน รีบูตเพื่อให้การเปลี่ยนแปลงมีผล

โปรดทราบว่าในบางกรณี (โดยเฉพาะถ้าใช้ใบรับรองที่ลงชื่อด้วยตนเองใน Server 2012 R2) ตัวเลือกนโยบายความปลอดภัยความปลอดภัยเครือข่าย: ระดับการรับรองความถูกต้องของ LAN Manager อาจต้องตั้งค่าเป็นส่งการตอบสนอง NTLMv2 เท่านั้น

แจ้งให้เราทราบว่าสิ่งนี้ได้ผลกับคุณเช่นกัน

— cardiothoracics
แหล่งที่มา