So deaktivieren Sie TLS 1.0 in Windows 2012 RDP

12

Hintergrund: Das einzige, was ich dazu finden kann, bezieht sich auf RDP unter Windows 2008, das in den Verwaltungstools anscheinend als "Remotedesktop-Sitzungshostkonfiguration" bezeichnet wird. Dies ist in Windows 2012 NICHT vorhanden und es scheint nun eine Möglichkeit zu geben, es auch über eine MMC hinzuzufügen. Ich habe hier für 2008 gelesen , mit RDS Host Config können Sie es einfach ausschalten.

Frage: Wie können Sie in Windows 2012 TLS 1.0 deaktivieren und dennoch RDP in einen Windows 2012-Server integrieren?

Ursprünglich habe ich verstanden, dass NUR TLS 1.0 in Win2012 RDP unterstützt wurde . TLS 1.0 laut PCI ist jedoch nicht mehr zulässig. Dies sollte laut diesem Artikel für Windows Server 2008r2 behoben sein . Dies betrifft jedoch nicht Server 2012, der nicht einmal über einen administrativen GUI-Apparat verfügt, um Änderungen an den Protokollen vorzunehmen, die RDP verwenden wird, die mir bekannt sind.

Michael Barber
quelle
Was ist die Ausgabe des verBefehls?
Greg Askew

Antworten:

7

Das Deaktivieren von TLS ist eine systemweite Registrierungseinstellung:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Die PCI-Anforderung zum Deaktivieren des frühen TLS tritt erst am 30. Juni 2016 in Kraft.


Internet Explorer ist ein mir bekanntes Produkt mit einer separaten Konfigurationsoption für die TLS / SSL-Verschlüsselungseinstellungen. Es kann andere geben.

Ich habe einen Windows 2012 R2-Server mit deaktiviertem TLS 1.0 und kann einen Remotedesktop verwenden.

Wenn Sie sich fragen, sehen Sie unten einen Screenshot von tsconfig.msc auf einem Windows 2008 R2-Server, auf dem KB3080079 installiert ist. Es muss nichts konfiguriert werden, da das Update lediglich die Unterstützung für die beiden anderen TLS-Verschlüsselungsstufen hinzugefügt hat, sodass TLS 1.0 weiterhin funktioniert, wenn es deaktiviert ist.

Geben Sie hier die Bildbeschreibung ein

Greg Askew
quelle
Ihre Anweisungen lauten, wie Sie TLS 1.0 "serverweit" deaktivieren können und nicht spezifisch für RDP. Wenn ich ihnen folge, kann ich nicht mehr über RDP auf den Server zugreifen. Dies könnte sehr gut sein, dass RDP weiterhin TLS 1.0 verwendet, obwohl es als SChannel deaktiviert ist. Dies geht auf die Frage zurück, wie sichergestellt werden kann, dass es AUCH geändert oder an RDP zurückgemeldet wird.
Michael Barber
OK du hast recht. Es sieht so aus, als würde es funktionieren, wenn der RDP-Client auf Version 8 und nicht 7.1 pro KB ist. Es ist "bedauerlich", dass Microsoft dieses früher verfügbare Steuerelement entfernt hat. Sehr enttäuscht von Win-Server 2012 - es fühlt sich an wie ein Schritt zurück zu Win-Server 2008
Michael Barber
@MichaelBarber Sie haben nach Win 2012 gefragt, aber Ihr Kommentar oben bezieht sich auf 2008? Haben Sie TLS 1.0 unter Windows 2012 Standard R2 aus Gründen der Übersichtlichkeit ohne Probleme deaktiviert? zB konnten Sie noch Remotedesktop auf den Server?
Neildt
1

Wenn Sie TLS 1.0 deaktivieren und möchten, dass RDP weiter funktioniert, müssen Sie im lokalen Gruppenrichtlinien-Editor die Sicherheitsschicht "Aushandeln" für RDP unter "Computerkonfiguration \ Administrative Vorlagen \ Windows \ Komponenten \ Remotedesktopdienste \ Remotedesktopsitzungshost" auswählen \ Sicherheit "" Erfordert die Verwendung einer bestimmten Sicherheitsschicht für Remoteverbindungen (RDP). " und wählen Sie auch "Aktiviert". Dies funktioniert auch in 2012R2.

user346630
quelle
1

Nach fast einem Jahr fand ich endlich eine funktionierende Lösung zum Deaktivieren von TLS 1.0 / 1.1, ohne die Konnektivität von RDP und Remotedesktopdiensten zu unterbrechen.

Führen Sie IISCrypto aus und deaktivieren Sie TLS 1.0, TLS 1.1 und alle fehlerhaften Chiffren.

Öffnen Sie auf dem Remotedesktopdiensteserver, auf dem die Gateway-Rolle ausgeführt wird, die lokale Sicherheitsrichtlinie und navigieren Sie zu Sicherheitsoptionen - Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen zum Verschlüsseln, Hashing und Signieren. Ändern Sie die Sicherheitseinstellung in Aktiviert. Starten Sie neu, damit die Änderungen wirksam werden.

Beachten Sie, dass in einigen Fällen (insbesondere bei Verwendung von selbstsignierten Zertifikaten unter Server 2012 R2) die Sicherheitsrichtlinienoption Netzwerksicherheit: LAN Manager-Authentifizierungsstufe möglicherweise auf Nur NTLMv2-Antworten senden festgelegt werden muss.

Lassen Sie mich wissen, ob dies auch für Sie funktioniert.

Kardiothorakika
quelle