Prosesor kartu kredit kami baru-baru ini memberi tahu kami bahwa pada 30 Juni 2016, kami harus menonaktifkan TLS 1.0 agar tetap mematuhi PCI . Saya mencoba untuk menjadi proaktif dengan menonaktifkan TLS 1.0 pada mesin Windows Server 2008 R2 kami, hanya untuk menemukan bahwa segera setelah reboot saya benar-benar tidak dapat terhubung ke sana melalui Remote Desktop Protocol (RDP). Setelah beberapa penelitian, tampaknya RDP hanya mendukung TLS 1.0 (lihat di sini atau di sini ), atau setidaknya tidak jelas bagaimana mengaktifkan RDP melalui TLS 1.1 atau TLS 1.2. Adakah yang tahu cara untuk menonaktifkan TLS 1.0 pada Windows Server 2008 R2 tanpa melanggar RDP? Apakah Microsoft merencanakan dukungan untuk RDP melalui TLS 1.1 atau TLS 1.2?
Catatan: Tampaknya ada cara untuk melakukannya dengan mengonfigurasi server untuk menggunakan RDP Security Layer tetapi itu menonaktifkan Otentikasi Tingkat Jaringan , yang sepertinya memperdagangkan satu kejahatan dengan yang lain.
PEMBARUAN 1 : Microsoft sekarang telah mengatasi masalah ini. Lihat jawaban di bawah ini untuk pembaruan server yang relevan.
UPDATE 2 : Microsoft telah merilis tutorial tentang Dukungan SQL Server untuk PCI DSS 3.1 .
Jawaban:
Microsoft merilis patch untuk masalah ini 15 Sep 2015
Lihat https://support.microsoft.com/en-us/kb/3080079
sumber
Saya telah melihat ini selama beberapa hari sekarang karena kita harus mematuhi PCI-DSS 3.1 yang mengharuskan TLS 1.0 dinonaktifkan.
Kami juga tidak ingin kembali ke RDP Security Layer yang merupakan masalah keamanan utama.
Saya akhirnya berhasil menemukan beberapa dokumentasi yang mengkonfirmasi bahwa TLS 1.1 dan TLS 1.2 didukung oleh RDP. Dokumentasi ini disembunyikan dalam logging SChannel dan spesifikasi yang sangat rinci untuk RDP .
Ada kekurangan dokumentasi aliran utama di Technet atau situs Microsoft lainnya, jadi semoga mendokumentasikan ini di sini dapat membantu beberapa orang.
Ekstrak yang relevan dari tautan yang disediakan:
Dari tautan MSDN:
Dari spesifikasi RDP PDF:
Oleh karena itu orang akan menyimpulkan bahwa Anda dapat menggunakan TLS 1.1 atau 1.2 pada Windows Server 2008 R2 sesuai dengan dokumentasi ini.
Namun pengujian kami telah membuktikan ini TIDAK berfungsi dari klien Windows 7 RDP (versi 6.3.9600) ketika TLS 1.0 dinonaktifkan dan opsi keamanan RDP diatur untuk memerlukan TLS 1.0.
Ini tentu saja serta mengaktifkan TLS 1.1 dan 1.2 yang dinonaktifkan secara default pada 2008R2 - kebetulan kami melakukan ini menggunakan Alat Crypto IIS yang sangat berguna dari Nartac Software .
Ketika melihat masalah ini, penting untuk mengaktifkan pendataan SChannel untuk melihat lebih detail tentang apa yang terjadi ketika sesi Anda dibuka.
Anda dapat mengatur SChannel logging dengan mengubah HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging kunci ke 5 dan me-reboot.
Setelah ini dilakukan, Anda dapat mengamati acara SChannel yang menunjukkan versi TLS digunakan ketika koneksi RDP dibuat. Setelah logging diaktifkan, Anda dapat mengamati kesalahan SChannel ketika klien RDP mencoba untuk membuat koneksi pada Windows 2008 R2 dengan TLS 1.0 dinonaktifkan:
Saya juga telah menguji menonaktifkan TLS 1.0 pada Windows Server 2012 dan 2012 R2 yang dapat saya konfirmasi berfungsi dengan baik menggunakan Windows 7 RDP Client. Entri log SChannel menunjukkan TLS 1.2 sedang digunakan:
Saya harap ini membantu seseorang yang mencari klarifikasi tentang ini.
Saya akan terus mencari bagaimana kita bisa membuat RDP bekerja pada TLS 1.1 dan TLS 1.2 di Windows Server 2008 R2.
UPDATE: 2015-AUG-05
Kami mengangkat masalah RDP yang tidak bekerja dengan Server 2008 R2 dengan dukungan Microsoft termasuk langkah-langkah untuk mereproduksi.
Setelah beberapa minggu mundur dan maju, kami akhirnya menerima panggilan telepon hari ini dari tim dukungan untuk mengetahui bahwa mereka memang dapat mereproduksi dan ini sekarang dikategorikan sebagai bug. Patch pembaruan akan dirilis, saat ini diharapkan pada Oktober 2015. Begitu saya memiliki artikel KB atau detail lainnya, saya akan menambahkannya ke posting ini.
Semoga mereka yang terjebak dengan Windows Server 2008 R2 setidaknya bisa menyelesaikan masalah ini sebelum batas waktu Juni 2016 setelah tambalan dirilis.
PEMBARUAN: 19 September 2015
Microsoft akhirnya merilis artikel dukungan kb tentang ini di sini dan saya dapat mengonfirmasi bahwa itu berfungsi OK.
sumber
Gunakan IPsec sebagai gantinya, seperti yang direkomendasikan dokumen: "Menyiapkan sesi yang sangat terenkripsi terlebih dahulu (misalnya terowongan IPsec), kemudian mengirim data melalui SSL dalam terowongan aman"
Alasan utama untuk melakukan ini lebih dari mengkonfigurasi TLS untuk RDP adalah bahwa kebijakan firewall mudah diaudit untuk kepatuhan (vs membuktikan bahwa perubahan registri sesuai) dan IPsec cukup mudah untuk dikonfigurasi di windows.
Jika Anda membutuhkan suite B kepatuhan penuh IPSEC dengan tls 1.0 adalah satu-satunya cara yang tersedia untuk menerapkan panjang sertifikat yang sesuai
sumber
Ini bukan jawaban untuk pertanyaan, tetapi untuk sub-pertanyaan "Bagaimana cara mengembalikan akses jarak jauh ke mesin virtual tempat saya menonaktifkan TLS 1.0 dan tanpa akses fisik?".
Saya menonaktifkan TLS 1.0 menggunakan IISCrypto, yang memberikan peringatan bermanfaat tentang efek samping yang RDP akan berhenti bekerja jika diatur ke TLS. Jadi saya check in:
dan Tingkat Keamanan saya diatur ke "Negosiasi". Saya berasumsi ini berarti jika TLS tidak tersedia, itu dengan anggun akan menurunkan ke Keamanan RDP.
Tapi tidak, Negosiasi tidak berfungsi seperti itu. Anda harus mengatur Tingkat Keamanan ke Keamanan RDP, bukan Negosiasi, sebelum Anda menonaktifkan TLS 1.0.
Jadi saya kehilangan kemampuan saya untuk melakukan koneksi jarak jauh ke instance AWS saya!
Untuk menghubungkan kembali, saya menggunakan instance AWS lain.
net use \\lost_machine_ip\c$
\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\
dan atur nilainya
SecurityLayer
menjadi 0 (0 adalah Keamanan RDP).Anda kemudian akan dapat melakukan koneksi jarak jauh, dan mengaktifkan kembali TLS 1.0 di IISCrypto jika diperlukan.
sumber
Anda perlu menginstal RDP 8.0 di komputer Windows 7 dan server Windows Server 2008 R2, dan kemudian mengaktifkan RDP 8.0 di kebijakan komputer lokal atau kebijakan grup.
Berikut adalah Microsoft KB untuk RDP 8.0. https://support.microsoft.com/en-us/kb/2592687
Setelah ini selesai, Anda harus dapat menonaktifkan TLS 1.0 di komputer dan server dengan mengedit registri seperti yang diperintahkan dalam artikel ini. https://technet.microsoft.com/en-us/library/dn786418.aspx
Setelah menginstal RDP 8.0 Anda juga dapat menginstal RDP 8.1, tetapi RDP 8.0 harus diinstal sebelum menginstal RDP 8.1. RDP 8.0 berisi komponen klien dan protokol sisi-server, tetapi RDP 8.1 hanya mencakup klien. Microsoft KB untuk RDP 8.1 adalah KB2830477.
Saya membuat perubahan ini di salah satu workstation windows 7 saya dan menguji koneksi RDP dengan "Memerlukan penggunaan lapisan keamanan khusus untuk koneksi jarak jauh (RDP)" Pengaturan Kebijakan Grup diaktifkan dan diatur ke "SSL (TLS 1.0)" untuk memastikan bahwa itu tidak akan kembali ke Enkripsi RDP.
PEMBARUAN 6/19/2015:
Saya akhirnya mendapat kesempatan untuk menguji ini di salah satu server Windows Server 2008 R2 kami, dan itu pasti memutus koneksi RDP ke server. Tampaknya komponen sisi server RDP 8.0 hanya diinstal pada komputer Windows 7, dan tidak diinstal pada server Windows Server 2008 R2.
sumber
Seperti yang diposting di Cara menonaktifkan TLS 1.0 tanpa melanggar RemoteApps di server 2012 R2 tetapi meng-reposting di sini untuk kepentingan mereka yang mungkin tidak memonitor tautan itu:
Setelah hampir setahun, saya akhirnya menemukan solusi untuk menonaktifkan TLS 1.0 / 1.1 tanpa memutus konektivitas RDP dan Remote Desktop Services dan meluncurkan RemoteApps:
Jalankan IISCrypto dan nonaktifkan TLS 1.0, TLS 1.1 dan semua cipher yang buruk.
Pada server Layanan Desktop Jarak Jauh yang menjalankan peran gateway, buka Kebijakan Keamanan Lokal dan navigasikan ke Opsi Keamanan - Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk enkripsi, hashing, dan penandatanganan. Ubah pengaturan keamanan ke Diaktifkan. Mulai ulang agar perubahan diterapkan.
Perhatikan bahwa dalam beberapa kasus (terutama jika menggunakan sertifikat yang ditandatangani sendiri pada Server 2012 R2), opsi Kebijakan Keamanan Keamanan Jaringan: Tingkat otentikasi manajer LAN mungkin perlu diatur untuk mengirim respons NTLMv2 saja.
sumber
Hanya pembaruan tentang ini jika ada orang lain yang mencari info tentangnya. Untuk kotak Windows 7 64-bit saya, saya harus menginstal KB2574819 (pertama) dan KB2592687 (kedua) Windows 7 harus menginstal SP1 sebelum 2 pkg itu akan diinstal. Jika Anda memiliki masalah menginstal SP1 seperti yang saya lakukan, saya harus menghapus KB958830 terlebih dahulu, kemudian instal SP1.
Untuk kotak Windows Server 2008 R2 saya, saya harus menginstal KB3080079. Setelah Anda melakukan ini dan memiliki semua pengaturan yang sesuai untuk komunikasi aman, maka itu akan menggunakan TLS 1.2 Anda dapat mengonfirmasi dengan menggunakan Wireshark untuk melakukan penangkapan komunikasi antara dua kotak Anda.
sumber
Saya telah berhasil menggunakan rdesktop ( http://www.rdesktop.org ) untuk Linux untuk mengatasi masalah ini.
sumber
Satu kasus yang tidak dicakup oleh jawaban yang ada: Klien Windows 7 yang terhubung melalui RDP Gateway masih akan menggunakan TLS 1.0 saat menghubungkan ke gateway dan gagal jika gateway tidak mendukung TLS 1.0, bahkan setelah menerapkan KB3080079 , seperti yang diamati di utas forum TechNet ini .
Untuk menggunakan TLS 1.2 untuk menghubungkan melalui RDP Gateway, pastikan KB3140245 diinstal dan tambahkan kunci registri berikut (simpan dalam file dengan
.reg
ekstensi untuk diimpor):Seperti yang didokumentasikan dalam KB3140245 , ini akan menggantikan
WINHTTP_OPTION_SECURE_PROTOCOLS
menggunakan TLS 1.2 (dan hanya TLS 1.2) secara default. Jadi waspadai itu akan mempengaruhi lebih dari sekedar klien RDP.(Catatan: Jika kompatibilitas ke belakang diinginkan,
dword:00000800
dapat diubahdword:00000A00
ataudword:00000A80
untuk memasukkan masing-masing TLS 1.1 dan 1.0)sumber