Cách tắt TLS 1.0 trong Windows 2012 RDP

12

Bối cảnh: Điều duy nhất tôi có thể tìm thấy về cách thực hiện việc này liên quan đến RDP trên windows 2008, dường như có một thứ gọi là "Cấu hình máy chủ phiên máy tính từ xa" trong Công cụ quản trị. Điều này KHÔNG tồn tại trong windows 2012 và dường như bây giờ cũng có cách để thêm nó thông qua MMC. Tôi đọc ở đây cho năm 2008, sử dụng RDS Host Config, bạn có thể tắt nó đi.

Câu hỏi: Vì vậy, trong windows 2012, làm thế nào bạn có thể tắt TLS 1.0, nhưng vẫn có thể RDP thành máy chủ Windows 2012?

Ban đầu, sự hiểu biết của tôi là CHỈ TLS 1.0 đã được hỗ trợ trong Win2012 RDP . Tuy nhiên, TLS 1.0 theo PCI không còn được phép. Điều này được cho là đã sửa cho máy chủ Windows 2008r2 theo bài viết này . Tuy nhiên, điều này không giải quyết Server 2012 thậm chí không có bộ máy gui quản trị để thực hiện các thay đổi đối với các giao thức mà RDP sẽ sử dụng mà tôi biết.

— Michael cắt tóc
nguồn

Đầu ra của verlệnh là gì?

— Greg Askew

7

Vô hiệu hóa TLS là cài đặt đăng ký toàn hệ thống:

https://technet.microsoft.com/en-us/l Library / dn786418.aspx # BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0

Ngoài ra, yêu cầu PCI để vô hiệu hóa TLS sớm sẽ không có hiệu lực cho đến ngày 30 tháng 6 năm 2016.

Internet Explorer là một sản phẩm tôi biết có tùy chọn cấu hình riêng cho cài đặt mã hóa TLS / SSL. Có thể có người khác.

Tôi có một máy chủ Windows 2012 R2 bị tắt TLS 1.0 và tôi có thể điều khiển máy tính từ xa với nó.

Nếu bạn đang tự hỏi, bên dưới là ảnh chụp màn hình của tsconfig.msc trên máy chủ Windows 2008 R2 đã cài đặt KB3080079. Không có gì để cấu hình vì điều duy nhất mà bản cập nhật đã làm là thêm hỗ trợ cho hai mức mã hóa TLS khác để khi TLS 1.0 bị vô hiệu hóa, nó tiếp tục hoạt động.

— Greg Askew
nguồn

Hướng dẫn của bạn là cách vô hiệu hóa "máy chủ rộng" TLS 1.0 và không dành riêng cho RDP. Nếu tôi theo dõi họ, tôi không thể truy cập máy chủ qua RDP nữa. Điều này rất có thể là RDP vẫn đang sử dụng TLS 1.0 mặc dù nó bị vô hiệu hóa như một SChannel, điều này quay trở lại câu hỏi làm thế nào để đảm bảo rằng nó cũng bị thay đổi, hoặc được thông báo lại cho RDP.

— Michael Barber

OK bạn đúng rồi. Có vẻ như nó hoạt động nếu máy khách RDP ở ver 8 chứ không phải 7.1 trên KB. Thật là "không may" khi Microsoft lấy đi quyền kiểm soát này đã có trước đó. Rất thất vọng về Win-server 2012 - cảm giác như bước xuống Win-server 2008

— Michael Barber

@MichaelBarber Bạn đã hỏi về Win 2012, nhưng sau đó nhận xét của bạn ở trên là về năm 2008? Để rõ ràng, bạn đã tắt TLS 1.0 trên Windows 2012 Standard R2 mà không gặp vấn đề gì chưa? ví dụ: bạn vẫn có thể Remote Desktop đến máy chủ?

— neildt

1

Nếu bạn tắt TLS 1.0 và muốn RDP tiếp tục hoạt động, thì khi sử dụng Trình chỉnh sửa chính sách nhóm cục bộ, bạn phải chọn Lớp bảo mật "Đàm phán" cho RDP trong "Cấu hình máy tính \ Mẫu quản trị \ Windows \ Dịch vụ máy tính để bàn từ xa \ Máy chủ phiên máy tính từ xa \ Bảo mật "" Yêu cầu sử dụng lớp bảo mật cụ thể cho các kết nối từ xa (RDP). " và cũng chọn "Đã bật". Điều này cũng hoạt động trong 2012R2.

— người dùng346630
nguồn

1

Sau gần một năm, cuối cùng tôi cũng tìm ra một giải pháp hiệu quả để vô hiệu hóa TLS 1.0 / 1.1 mà không phá vỡ kết nối RDP và Remote Desktop Services.

Chạy IISCrypto và vô hiệu hóa TLS 1.0, TLS 1.1 và tất cả các mật mã xấu.

Trên máy chủ Remote Desktop Services chạy vai trò cổng, mở Chính sách bảo mật cục bộ và điều hướng đến Tùy chọn bảo mật - Mật mã hệ thống: Sử dụng thuật toán tuân thủ mật khẩu để mã hóa, băm và ký. Thay đổi cài đặt bảo mật thành Đã bật. Khởi động lại để những thay đổi có hiệu lực.

Lưu ý rằng trong một số trường hợp (đặc biệt là nếu sử dụng chứng chỉ tự ký trên Máy chủ 2012 R2), tùy chọn Chính sách bảo mật Bảo mật mạng: Mức xác thực của Trình quản lý LAN chỉ có thể được đặt thành Gửi phản hồi NTLMv2.

Hãy cho tôi biết nếu điều này làm việc cho bạn là tốt.

— tim mạch
nguồn