Windows 2012 RDP'de TLS 1.0 nasıl devre dışı bırakılır

Arka plan: Bunu nasıl yapacağımla ilgili bulabileceğim tek şey, Windows 2008'deki RDP ile ilgilidir, bu da Yönetimsel Araçlar'da "Uzak Masaüstü Oturum Ana Bilgisayarı Yapılandırması" olarak adlandırılan bir şeye sahiptir. Bu, Windows 2012'de mevcut DEĞİLDİR ve şimdi bir MMC yoluyla eklemenin de yolu var gibi görünüyor. Burada 2008 için RDS Host Config kullanarak okudum , sadece kapatabilirsiniz.

Soru: Peki, Windows 2012'de TLS 1.0'ı nasıl kapatabilirsiniz, ancak yine de RDP'yi bir Windows 2012 sunucusuna nasıl aktarabilirsiniz?

Başlangıçta, benim anlayışım SADECE TLS 1.0'ın Win2012 RDP'de desteklendiğidir . Ancak, PCI'ya göre TLS 1.0'a artık izin verilmiyor. Bu makaleye göre, Windows Server 2008r2 için bu düzeltildi . Ancak, bu, RDP'nin bildiğim protokollerde kullanacağı değişiklikleri yapmak için yönetimsel bir GUI aygıtı olmayan Server 2012'yi ele almaz.

TLS'yi devre dışı bırakmak, sistem çapında bir kayıt defteri ayarıdır:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Ayrıca, erken TLS'yi devre dışı bırakmak için PCI gereksinimi 30 Haziran 2016'ya kadar geçerli değildir.

Internet Explorer, TLS / SSL şifreleme ayarları için ayrı bir yapılandırma seçeneğine sahip olduğunu bildiğim bir üründür. Başkaları da olabilir.

TLS 1.0 devre dışı bırakılmış bir Windows 2012 R2 sunucum var ve bunu masaüstüne uzak tutabilirim.

Eğer merak ediyorsanız, aşağıda KB3080079 kurulu bir Windows 2008 R2 sunucusunda tsconfig.msc ekran görüntüsü verilmiştir. Yapılandırılması gereken bir şey yok, çünkü güncellemenin yaptığı tek şey diğer iki TLS şifreleme seviyesi için destek eklemekti, böylece TLS 1.0 devre dışı bırakıldığında çalışmaya devam ediyor.

TLS 1.0'ı devre dışı bırakır ve RDP'nin çalışmaya devam etmesini istiyorsanız, yerel Grup İlkesi Düzenleyicisi'ni kullanarak "Bilgisayar Yapılandırması \ Yönetim Şablonları \ Windows \ Bileşenleri \ Uzak Masaüstü Hizmetleri \ Uzak Masaüstü Oturum Ana Bilgisayarı'nda" RDP için Güvenlik Anlaşmasını "seçmeniz gerekir \ Security "" Uzak (RDP) bağlantılar için belirli güvenlik katmanının kullanılmasını gerektir. " ve ayrıca "Etkin" i seçin. Bu, 2012R2'de de çalışır.

Neredeyse bir yıl sonra, RDP ve Uzak Masaüstü Hizmetleri bağlantısını kesmeden TLS 1.0 / 1.1'i devre dışı bırakmak için çalışan bir çözüm buldum.

IISCrypto'yu çalıştırın ve TLS 1.0, TLS 1.1 ve tüm bozuk şifreleri devre dışı bırakın.

Ağ geçidi rolünü çalıştıran Uzak Masaüstü Hizmetleri sunucusunda Yerel Güvenlik İlkesi'ni açın ve Güvenlik Seçenekleri - Sistem şifrelemesi: Şifreleme, karma ve imzalama için FIPS uyumlu algoritmalar kullanın. Güvenlik ayarını Etkin olarak değiştirin. Değişikliklerin geçerli olması için yeniden başlatın.

Bazı durumlarda (özellikle Server 2012 R2'de kendinden imzalı sertifikalar kullanılıyorsa), Güvenlik İlkesi seçeneğinin Ağ Güvenliği: LAN Yöneticisi kimlik doğrulama düzeyinin yalnızca NTLMv2 yanıtları gönder olarak ayarlanması gerekebilir.

Bunun sizin için de işe yarayıp yaramadığını bana bildirin.