Cara menonaktifkan TLS 1.0 di Windows 2012 RDP

12

Latar Belakang: Satu-satunya hal yang dapat saya temukan tentang cara melakukan ini terkait dengan RDP pada windows 2008, yang tampaknya memiliki sesuatu yang disebut "Konfigurasi Host Sesi Remote Desktop" di Alat Administratif. Ini TIDAK ada di windows 2012 dan sekarang tampaknya ada cara untuk menambahkannya melalui MMC. Saya baca di sini untuk 2008, menggunakan RDS Host Config, Anda bisa mematikannya.

Pertanyaan: Jadi, di windows 2012, bagaimana Anda bisa mematikan TLS 1.0, tetapi masih bisa RDP menjadi server Windows 2012?

Awalnya, pemahaman saya adalah bahwa HANYA TLS 1.0 didukung di Win2012 RDP . Namun, TLS 1.0 menurut PCI tidak lagi diizinkan. Ini seharusnya diperbaiki untuk server Windows 2008r2 menurut artikel ini . Namun, ini tidak membahas Server 2012 yang bahkan tidak memiliki peralatan gui administrasi untuk membuat perubahan pada protokol yang akan digunakan RDP yang saya tahu.

Michael Barber
sumber
Apa output dari verperintah?
Greg Askew

Jawaban:

7

Menonaktifkan TLS adalah pengaturan registri di seluruh sistem:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Selain itu, persyaratan PCI untuk menonaktifkan TLS awal tidak berlaku hingga 30 Juni 2016.


Internet Explorer adalah salah satu produk yang saya tahu memiliki opsi konfigurasi terpisah untuk pengaturan enkripsi TLS / SSL. Mungkin ada yang lain.

Saya memiliki server Windows 2012 R2 dengan TLS 1.0 dinonaktifkan dan saya dapat melakukan remote desktop untuk itu.

Jika Anda bertanya-tanya, di bawah ini adalah screenshot dari tsconfig.msc pada server Windows 2008 R2 yang memiliki KB3080079 diinstal. Tidak ada yang perlu dikonfigurasikan karena satu-satunya pembaruan yang dilakukan adalah menambahkan dukungan untuk dua level enkripsi TLS lainnya sehingga ketika TLS 1.0 dinonaktifkan, ia terus berfungsi.

masukkan deskripsi gambar di sini

Greg Askew
sumber
Instruksi Anda adalah cara menonaktifkan TLS 1.0 "lebar server" dan tidak spesifik untuk RDP. Jika saya mengikuti mereka, saya tidak bisa lagi mengakses server melalui RDP. Ini sangat mungkin bahwa RDP masih menggunakan TLS 1.0 meskipun sedang dinonaktifkan sebagai SChannel yang agak kembali ke pertanyaan tentang bagaimana memastikan itu JUGA diubah, atau diberitahu kembali ke RDP.
Michael Barber
Ok, kamu benar. Sepertinya berfungsi jika klien RDP di ver 8 dan tidak 7.1 per KB. Sangat disayangkan bahwa Microsoft mengambil kontrol ini yang tersedia sebelumnya. Sangat kecewa di Win-server 2012 - rasanya seperti turun ke Win-server 2008
Michael Barber
@MichaelBarber Anda bertanya tentang Win 2012, tetapi kemudian komentar Anda di atas sekitar 2008? Untuk kejelasan, apakah Anda menonaktifkan TLS 1.0 pada Windows 2012 Standard R2 tanpa masalah? misalnya apakah Anda masih dapat melakukan Remote Desktop ke server?
neildt
1

Jika Anda menonaktifkan TLS 1.0 dan ingin RDP tetap berfungsi, maka menggunakan Editor Kebijakan Grup lokal Anda harus memilih Lapisan Keamanan "Negosiasi" untuk RDP dalam "Konfigurasi Komputer \ Template Administratif \ Windows \ Komponen \ Layanan Desktop Jauh \ Host Sesi Desktop Jarak Jauh" \ Keamanan "" Memerlukan penggunaan lapisan keamanan khusus untuk koneksi jarak jauh (RDP). " dan juga pilih "Diaktifkan". Ini juga berfungsi di 2012R2.

pengguna346630
sumber
1

Setelah hampir setahun, saya akhirnya menemukan solusi untuk menonaktifkan TLS 1.0 / 1.1 tanpa memutus konektivitas RDP dan Remote Desktop Services.

Jalankan IISCrypto dan nonaktifkan TLS 1.0, TLS 1.1 dan semua cipher yang buruk.

Pada server Layanan Desktop Jarak Jauh yang menjalankan peran gateway, buka Kebijakan Keamanan Lokal dan navigasikan ke Opsi Keamanan - Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk enkripsi, hashing, dan penandatanganan. Ubah pengaturan keamanan ke Diaktifkan. Mulai ulang agar perubahan diterapkan.

Perhatikan bahwa dalam beberapa kasus (terutama jika menggunakan sertifikat yang ditandatangani sendiri pada Server 2012 R2), opsi Kebijakan Keamanan Keamanan Jaringan: Tingkat otentikasi manajer LAN mungkin perlu diatur untuk mengirim respons NTLMv2 saja.

Beri tahu saya jika ini juga cocok untuk Anda.

kardiotoraks
sumber