Tôi đã xem xét vấn đề này vài ngày nay vì chúng tôi phải tuân thủ PCI-DSS 3.1, yêu cầu TLS 1.0 phải bị vô hiệu hóa.
Chúng tôi cũng không muốn quay trở lại Lớp bảo mật RDP, đây là một vấn đề bảo mật chính.
Cuối cùng tôi đã tìm được một số tài liệu xác nhận rằng TLS 1.1 và TLS 1.2 được RDP hỗ trợ. Tài liệu này được ẩn đi trong nhật ký SChannel và thông số kỹ thuật rất chi tiết cho RDP .
Hoàn toàn thiếu tài liệu truyền phát chính trên Technet hoặc các trang web khác của Microsoft, có vẻ như vậy hy vọng tài liệu này ở đây có thể giúp một số người.
Các chiết xuất có liên quan từ các liên kết được cung cấp:
Từ liên kết MSDN:
"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"
Từ đặc tả RDP PDF:
"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"
"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5: TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"
Do đó, người ta sẽ kết luận rằng bạn có thể sử dụng TLS 1.1 hoặc 1.2 trên Windows Server 2008 R2 theo tài liệu này.
Tuy nhiên, thử nghiệm của chúng tôi đã chứng minh điều này KHÔNG hoạt động từ máy khách RDP của Windows 7 (phiên bản 6.3.9600) khi TLS 1.0 bị tắt và tùy chọn bảo mật RDP được đặt để yêu cầu TLS 1.0.
Điều này là tất nhiên cũng như cho phép TLS 1.1 và 1.2 bị tắt theo mặc định trên 2008R2 - tình cờ chúng tôi thực hiện việc này bằng cách sử dụng Công cụ mã hóa IIS rất hữu ích từ Phần mềm Nartac .
Khi xem xét vấn đề này, rất hữu ích khi cho phép ghi nhật ký SChannel để xem chi tiết hơn về những gì đang xảy ra khi phiên của bạn được mở.
Bạn có thể đặt ghi nhật ký SChannel bằng cách thay đổi khóa HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging thành 5 và khởi động lại.
Khi điều này đã được thực hiện, bạn có thể quan sát các sự kiện SChannel cho thấy phiên bản TLS đang được sử dụng khi kết nối RDP được thực hiện. Khi đăng nhập được bật, bạn có thể quan sát lỗi SChannel khi ứng dụng khách RDP cố gắng thiết lập kết nối trên Windows 2008 R2 với TLS 1.0 bị tắt:
A fatal error occurred while creating an SSL server credential. The internal error state is 10013.
Tôi cũng đã thử nghiệm vô hiệu hóa TLS 1.0 trên Windows Server 2012 và 2012 R2 mà tôi có thể xác nhận hoạt động hoàn hảo bằng Máy khách RDP của Windows 7. Mục nhật ký SChannel cho thấy TLS 1.2 đang được sử dụng:
An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.
Protocol: TLS 1.2
CipherSuite: 0xC028
Exchange strength: 256
Tôi hy vọng điều này sẽ giúp ai đó đang tìm kiếm làm rõ về điều này.
Tôi sẽ tiếp tục tìm kiếm cách chúng tôi có thể khiến RDP hoạt động trên TLS 1.1 và TLS 1.2 trong Windows Server 2008 R2.
CẬP NHẬT: 2015-AUG-05
Chúng tôi đã đưa ra vấn đề RDP không hoạt động với Server 2008 R2 với sự hỗ trợ của Microsoft bao gồm các bước để tạo lại.
Sau vài tuần trở đi trở lại, cuối cùng chúng tôi đã nhận được một cuộc gọi điện thoại từ nhóm hỗ trợ để xác nhận rằng họ thực sự có thể tái tạo nó và điều này hiện được phân loại là một lỗi. Một bản vá cập nhật sẽ được phát hành, tại thời điểm này dự kiến vào tháng 10 năm 2015. Ngay sau khi tôi có một bài viết KB hoặc các chi tiết khác, tôi sẽ thêm chúng vào bài đăng này.
Hy vọng rằng những người bị mắc kẹt với Windows Server 2008 R2 ít nhất có thể giải quyết vấn đề này trước hạn chót của tháng 6 năm 2016 sau khi bản vá được phát hành.
CẬP NHẬT: ngày 19 tháng 9 năm 2015
Microsoft cuối cùng đã phát hành một bài viết hỗ trợ kb về điều này ở đây và tôi có thể xác nhận rằng nó hoạt động tốt.