Я розглядаю це вже пару днів, оскільки нам потрібно дотримуватися PCI-DSS 3.1, який вимагає відключення TLS 1.0.
Ми також не хочемо повертатися до рівня безпеки RDP, що є головним питанням безпеки.
Нарешті мені вдалося знайти документацію, яка підтверджує, що TLS 1.1 та TLS 1.2 ARE підтримуються RDP. Ця документація прихована в протоколі SChannel та дуже детальній специфікації для RDP .
Існує повна відсутність документації на основний потік на Technet або інших сайтах Майкрософт, мабуть, настільки, сподіваємось, документування цього тут може допомогти деяким людям.
Відповідні витяги із наданих посилань:
За посиланням MSDN:
"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"
З специфікації PDF RDP:
"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"
"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5: TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"
Тому можна зробити висновок, що ви можете використовувати TLS 1.1 або 1.2 на Windows Server 2008 R2 відповідно до цієї документації.
Однак наше тестування довело, що це не працює з клієнтом RDP для Windows 7 (версія 6.3.9600), коли TLS 1.0 вимкнено, а для параметра захисту RDP встановлено необхідність використання TLS 1.0.
Це, звичайно, також дозволяє включити TLS 1.1 і 1.2, які за замовчуванням вимкнено на 2008R2 - ми, до речі, це робимо за допомогою дуже корисного інструмента криптоінформації IIS від Nartac Software .
При перегляді цього питання корисно ввімкнути ведення журналу SChannel, щоб побачити докладніші відомості про те, що відбувається під час відкриття сеансу.
Ви можете встановити журнал SChannel , змінивши клавішу HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging на 5 та перезавантажившись.
Після цього ви зможете спостерігати події SChannel, які показують, що версія TLS використовується під час з'єднання RDP. Після ввімкнення журналу ви можете помітити помилку SChannel, коли клієнт RDP намагається встановити з'єднання в Windows 2008 R2 з відключеним TLS 1.0:
A fatal error occurred while creating an SSL server credential. The internal error state is 10013.
Я також перевірив відключення TLS 1.0 на Windows Server 2012 та 2012 R2, і я можу підтвердити, що він ідеально працює за допомогою клієнта RDP Windows 7. Запис журналу SChannel показує, що TLS 1.2 використовується:
An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.
Protocol: TLS 1.2
CipherSuite: 0xC028
Exchange strength: 256
Я сподіваюся, що це допоможе тому, хто шукає роз'яснення з цього приводу.
Я продовжуватиму шукати, як ми можемо змусити RDP працювати над TLS 1.1 та TLS 1.2 у Windows Server 2008 R2.
ОНОВЛЕННЯ: 2015-серпня-05
Ми порушили питання про те, що RDP не працює з Server 2008 R2 з підтримкою Microsoft, включаючи кроки для відтворення.
Через кілька тижнів назад і вперед ми сьогодні нарешті отримали телефонний дзвінок від служби підтримки, щоб визнати, що вони дійсно могли його відтворити, і тепер це віднесено до помилок. Патч оновлень буде випущений, на даний момент це очікується в жовтні 2015 року. Як тільки у мене з’явиться стаття KB або інші деталі, я додам їх до цієї публікації.
Сподіваємося, що ті, хто застряг у Windows Server 2008 R2, зможуть принаймні вирішити це питання до закінчення червня 2016 року після виходу патча.
ОНОВЛЕННЯ: 19 вересня 2015 року
Microsoft нарешті -то випустила підтримку кб статтю про це тут , і я можу підтвердити , що він працює нормально.