Як відключити TLS 1.0 в RDP Windows 2012

Передумови: Єдине, що я можу знайти, як це зробити, стосується RDP у Windows 2008, який, здається, має в адміністративних інструментах назву "Конфігурація хоста віддаленого робочого сеансу". Цього НЕ існує у Windows 2012, і тепер, мабуть, існує спосіб додати його через MMC. Я читав тут за 2008 рік, використовуючи RDS Host Config, ви можете просто вимкнути його.

Питання: Отже, в Windows 2012, як можна вимкнути TLS 1.0, але все-таки мати змогу RDP на сервері Windows 2012?

Спочатку я розумію, що в програмі Win2012 підтримана ТІЛЬКА TLS 1.0 . Однак TLS 1.0 згідно PCI більше не дозволений. Цю статтю слід було виправити для сервера Windows 2008r2 . Однак це не стосується сервера 2012, який навіть не має апарату адміністративного управління для внесення змін у протоколи, якими RDP буде користуватися, про які я знаю.

Відключення TLS - це загальносистемне налаштування реєстру:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Також вимога PCI щодо відключення ранньої TLS не набуває чинності до 30 червня 2016 року.

Internet Explorer - це один продукт, про який я знаю, який має окрему опцію конфігурації для параметрів шифрування TLS / SSL. Можуть бути й інші.

У мене є сервер Windows 2012 R2 з вимкненою TLS 1.0, і я можу віддалено на нього настільний робочий стіл.

Якщо вам цікаво, нижче наведено скріншот tsconfig.msc на сервері Windows 2008 R2, на якому встановлено KB3080079. Нічого не можна налаштовувати, оскільки єдине, що було зроблено оновленням, - це підтримка двох інших рівнів шифрування TLS, щоб після відключення TLS 1.0 воно продовжувало працювати.

Якщо ви вимкніть TLS 1.0 і хочете, щоб RDP продовжував працювати, то, використовуючи локальний редактор групової політики, вам потрібно вибрати рівень безпеки "узгодити" рівень безпеки для RDP у розділі "Конфігурація комп'ютера \ Адміністративні шаблони \ Windows \ Компоненти \ Служби віддаленого робочого столу \ Хост віддаленого робочого сеансу" \ Безпека "" Потрібно використовувати певний рівень захисту для віддалених з'єднань (RDP). " а також виберіть "Увімкнено". Це також працює у 2012R2.

Через майже рік я нарешті з’ясував робоче рішення щодо відключення TLS 1.0 / 1.1, не порушуючи підключення RDP та віддалених служб на робочому столі.

Запустіть IISCrypto та відключіть TLS 1.0, TLS 1.1 та всі погані шифри.

На сервері віддалених служб робочого столу, який виконує роль шлюзу, відкрийте локальну політику безпеки та перейдіть до Параметри безпеки - Системна криптографія: Використовуйте алгоритми, сумісні з FIPS, для шифрування, хешування та підпису. Змініть налаштування безпеки на Увімкнено. Перезавантажте, щоб зміни набрали чинності.

Зауважте, що в деяких випадках (особливо, якщо на сервері 2012 R2 використовуються сертифікати, що підписуються самостійно), можливо, потрібно встановити параметр Політика безпеки Мережева безпека: рівень автентифікації локального менеджера LAN, призначений лише для надсилання відповідей NTLMv2.

Дайте мені знати, чи працює це і для вас.