Jak wyłączyć TLS 1.0 w RDP systemu Windows 2012

Tło: Jedyne, co mogę znaleźć, jak to zrobić, dotyczy protokołu RDP w systemie Windows 2008, który w Narzędziach administracyjnych wydaje się mieć coś o nazwie „Konfiguracja hosta sesji pulpitu zdalnego”. To NIE istnieje w systemie Windows 2012 i wydaje się, że istnieje teraz sposób, aby dodać go również za pomocą MMC. Czytam tutaj za rok 2008, używając RDS Host Config, możesz to po prostu wyłączyć.

Pytanie: Więc w Windows 2012, jak możesz wyłączyć TLS 1.0, ale nadal mieć możliwość RDP do serwera Windows 2012?

Pierwotnie rozumiem, że TYLKO TLS 1.0 był obsługiwany w Win2012 RDP . Jednak protokół TLS 1.0 zgodny z PCI nie jest już dozwolony. Zgodnie z tym artykułem miało to zostać naprawione dla systemu Windows Server 2008r2 . Nie dotyczy to jednak serwera 2012, który nie ma nawet administracyjnego interfejsu GUI do wprowadzania zmian w protokołach, z których korzysta RDP, o których jestem świadomy.

Wyłączenie TLS to systemowe ustawienie rejestru:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Ponadto wymóg PCI dotyczący wyłączenia wczesnego TLS wejdzie w życie dopiero 30 czerwca 2016 r.

Internet Explorer to jeden znany mi produkt, który ma osobną opcję konfiguracji ustawień szyfrowania TLS / SSL. Mogą być inni.

Mam serwer Windows 2012 R2 z wyłączonym TLS 1.0 i mogę na nim zdalny pulpit.

Jeśli się zastanawiasz, poniżej znajduje się zrzut ekranu pliku tsconfig.msc na serwerze z systemem Windows 2008 R2, na którym zainstalowano KB3080079. Nie trzeba nic konfigurować, ponieważ jedyną aktualizacją było dodanie obsługi dwóch pozostałych poziomów szyfrowania TLS, dzięki czemu po wyłączeniu TLS 1.0 nadal działa.

Jeśli wyłączysz TLS 1.0 i chcesz, aby protokół RDP nadal działał, a następnie za pomocą lokalnego edytora zasad grupy musisz wybrać „Negocjuj” warstwę zabezpieczeń dla protokołu RDP w „Konfiguracja komputera \ Szablony administracyjne \ Windows \ Składniki \ Usługi pulpitu zdalnego \ Host sesji usług pulpitu zdalnego \ Bezpieczeństwo „„ Wymagaj użycia określonej warstwy zabezpieczeń dla połączeń zdalnych (RDP) ”. a także wybierz „Włączone”. Działa to również w 2012R2.

Po prawie roku w końcu wymyśliłem działające rozwiązanie do wyłączania TLS 1.0 / 1.1 bez przerywania łączności RDP i usług pulpitu zdalnego.

Uruchom IISCrypto i wyłącz TLS 1.0, TLS 1.1 i wszystkie złe szyfry.

Na serwerze usług pulpitu zdalnego z rolą bramy otwórz Lokalną politykę bezpieczeństwa i przejdź do Opcje bezpieczeństwa - Kryptografia systemu: Użyj zgodnych algorytmów FIPS do szyfrowania, mieszania i podpisywania. Zmień ustawienie zabezpieczeń na Włączone. Uruchom ponownie, aby zmiany odniosły skutek.

Należy pamiętać, że w niektórych przypadkach (szczególnie w przypadku korzystania z certyfikatów z podpisem własnym na serwerze 2012 R2) opcja Zasady bezpieczeństwa Zabezpieczenia sieci: Poziom uwierzytelniania LAN Manager może wymagać ustawienia wysyłania tylko odpowiedzi NTLMv2.

Daj mi znać, jeśli to również zadziała.