Как отключить TLS 1.0 в Windows 2012 RDP
Предыстория: единственное, что я могу найти о том, как это сделать, относится к RDP в Windows 2008, который, кажется, имеет что-то под названием «Конфигурация узла сеанса удаленного рабочего стола» в административных инструментах. Этого НЕ существует в Windows 2012, и теперь, похоже, есть способ добавить его через MMC. Я читаю Вот в 2008 году, используя RDS Host Config, вы можете просто отключить его.
Вопрос: Итак, как в Windows 2012 отключить TLS 1.0, но по-прежнему иметь возможность подключать RDP к серверу Windows 2012?
Изначально я понимаю, что ТОЛЬКО TLS 1.0 поддерживался в Win2012 RDP. Однако TLS 1.0 согласно PCI больше не разрешен. Это должно было быть исправлено для Windows server 2008r2 согласно Эта статья. Однако это не относится к серверу 2012, у которого даже нет административного интерфейса пользователя для внесения изменений в протоколы, которые RDP будет использовать, о которых я знаю.
Отключение TLS - это системный параметр реестра:
https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10
Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
Value: Enabled
Value type: REG_DWORD
Value Data: 0
Кроме того, требование PCI об отключении раннего TLS не вступает в силу до 30 июня 2016 года.
Internet Explorer - это один из известных мне продуктов, в котором есть отдельная опция конфигурации для параметров шифрования TLS / SSL. Могут быть и другие.
У меня есть сервер Windows 2012 R2 с отключенным TLS 1.0, и я могу подключиться к нему удаленно.
Если вам интересно, ниже приведен снимок экрана tsconfig.msc на сервере Windows 2008 R2 с установленным KB3080079. Настраивать нечего, потому что единственное, что было сделано при обновлении, - это добавление поддержки для двух других уровней шифрования TLS, чтобы при отключении TLS 1.0 он продолжал работать.
Спустя почти год я наконец-то нашел рабочее решение для отключения TLS 1.0 / 1.1 без нарушения подключения RDP и служб удаленных рабочих столов.
Запустите IISCrypto и отключите TLS 1.0, TLS 1.1 и все плохие шифры.
На сервере служб удаленных рабочих столов, выполняющем роль шлюза, откройте локальную политику безопасности и перейдите к параметрам безопасности - Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписи. Измените настройку безопасности на Включено. Перезагрузитесь, чтобы изменения вступили в силу.
Обратите внимание, что в некоторых случаях (особенно при использовании самозаверяющих сертификатов на Server 2012 R2) для параметра политики безопасности «Сетевая безопасность: уровень проверки подлинности LAN Manager» может потребоваться установить значение «Отправлять только ответы NTLMv2».
Сообщите мне, работает ли это и для вас.
Если вы отключили TLS 1.0 и хотите, чтобы RDP продолжал работать, то с помощью редактора локальной групповой политики вам необходимо выбрать уровень безопасности «Согласовать» для RDP в «Конфигурация компьютера \ Административные шаблоны \ Windows \ Компоненты \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола». \ Security "" Требовать использования определенного уровня безопасности для удаленных (RDP) подключений. " а также выберите «Включено». Это также работает в 2012 R2.