Как отключить TLS 1.0 в Windows 2012 RDP

Предыстория: Единственное, что я могу найти о том, как это сделать, относится к RDP в Windows 2008, который, кажется, имеет то, что называется «Конфигурация узла сеанса удаленного рабочего стола» в инструментах администрирования. Этого не существует в Windows 2012, и теперь, похоже, есть способ добавить его через MMC. Я читал здесь за 2008 год, используя RDS Host Config, вы можете просто отключить его.

Вопрос: Итак, в Windows 2012, как вы можете отключить TLS 1.0, но все еще быть в состоянии RDP в сервер Windows 2012?

Изначально я понимаю, что в Win2012 RDP поддерживалась ТОЛЬКО TLS 1.0 . Однако TLS 1.0 в соответствии с PCI больше не разрешен. Это должно было быть исправлено для Windows Server 2008r2 в соответствии с этой статьей . Тем не менее, это не относится к Server 2012, который даже не имеет административного графического устройства для внесения изменений в протоколы, которые RDP будет использовать, о которых я знаю.

Отключение TLS - это общесистемный параметр реестра:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Кроме того, требование PCI для отключения раннего TLS не вступает в силу до 30 июня 2016 года.

Internet Explorer - это один из известных мне продуктов, у которого есть отдельный параметр конфигурации для параметров шифрования TLS / SSL. Там могут быть другие.

У меня есть сервер Windows 2012 R2 с отключенным TLS 1.0, и я могу удаленный рабочий стол к нему.

Если вам интересно, ниже приведен скриншот файла tsconfig.msc на сервере Windows 2008 R2 с установленным KB3080079. Нечего настраивать, потому что единственное, что сделало обновление, - добавила поддержку двух других уровней шифрования TLS, чтобы при отключении TLS 1.0 он продолжал работать.

Если вы отключите TLS 1.0 и хотите, чтобы RDP продолжал работать, то с помощью локального редактора групповой политики необходимо выбрать «Согласовать» уровень безопасности для RDP в «Конфигурация компьютера \ Административные шаблоны \ Windows \ Компоненты \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола». \ Security "" Требуется использование определенного уровня безопасности для удаленных (RDP) соединений. " а также выберите «Включено». Это также работает в 2012R2.

Спустя почти год я наконец-то нашел рабочее решение для отключения TLS 1.0 / 1.1, не нарушая подключения RDP и служб удаленных рабочих столов.

Запустите IISCrypto и отключите TLS 1.0, TLS 1.1 и все плохие шифры.

На сервере служб удаленных рабочих столов, на котором выполняется роль шлюза, откройте Локальную политику безопасности и перейдите в раздел Параметры безопасности - Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания. Измените настройку безопасности на Включено. Перезагрузитесь, чтобы изменения вступили в силу.

Обратите внимание, что в некоторых случаях (особенно при использовании самозаверяющих сертификатов на Server 2012 R2) для параметра «Политика безопасности» «Сетевая безопасность: уровень проверки подлинности LAN Manager» может потребоваться установить значение «Только отправлять ответы NTLMv2».

Дайте мне знать, если это работает и для вас.