Come disabilitare TLS 1.0 in Windows 2012 RDP

Sfondo: L'unica cosa che posso trovare su come fare questo riguarda RDP su Windows 2008, che sembra avere qualcosa chiamato "Configurazione host sessione Desktop remoto" in Strumenti di amministrazione. Questo NON esiste in Windows 2012 e ora sembra esserci un modo per aggiungerlo anche tramite MMC. Ho letto qui per il 2008, usando RDS Host Config, puoi farlo.

Domanda: Quindi, in Windows 2012, come è possibile disattivare TLS 1.0, ma essere ancora in grado di eseguire il RDP in un server Windows 2012?

Inizialmente, la mia comprensione è che SOLO TLS 1.0 era supportato in RDP Win2012 . Tuttavia, TLS 1.0 secondo PCI non è più consentito. Questo doveva essere corretto per Windows Server 2008r2 secondo questo articolo . Tuttavia, questo non riguarda Server 2012 che non ha nemmeno un apparato amministrativo per apportare modifiche ai protocolli che RDP utilizzerà e di cui sono a conoscenza.

La disabilitazione di TLS è un'impostazione del registro di sistema:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Inoltre, il requisito PCI per la disattivazione del TLS iniziale non entrerà in vigore fino al 30 giugno 2016.

Internet Explorer è un prodotto che conosco che ha un'opzione di configurazione separata per le impostazioni di crittografia TLS / SSL. Potrebbero essercene altri.

Ho un server Windows 2012 R2 con TLS 1.0 disabilitato e posso desktop remoto ad esso.

Se ti stai chiedendo, di seguito è riportato uno screenshot di tsconfig.msc su un server Windows 2008 R2 su cui è installato KB3080079. Non c'è nulla da configurare perché l'unica cosa che l'aggiornamento ha fatto è stata aggiungere il supporto per gli altri due livelli di crittografia TLS in modo che quando TLS 1.0 è disabilitato continui a funzionare.

Se disabiliti TLS 1.0 e desideri che RDP continui a funzionare, quindi utilizzando l'Editor criteri di gruppo locale devi selezionare il livello di sicurezza "Negozia" per RDP in "Configurazione computer \ Modelli amministrativi \ Windows \ Componenti \ Servizi desktop remoto \ Host sessione Desktop remoto \ Sicurezza "" Richiede l'uso di un livello di sicurezza specifico per le connessioni remote (RDP). " e seleziona anche "Abilitato". Questo funziona anche nel 2012R2.

Dopo quasi un anno, ho finalmente trovato una soluzione funzionante per disabilitare TLS 1.0 / 1.1 senza interrompere la connettività RDP e Servizi Desktop remoto.

Esegui IISCrypto e disabilita TLS 1.0, TLS 1.1 e tutte le cifre errate.

Sul server di Servizi Desktop remoto che esegue il ruolo gateway, aprire la politica di sicurezza locale e accedere a Opzioni di sicurezza - Crittografia di sistema: utilizzare algoritmi conformi a FIPS per crittografia, hash e firma. Modificare l'impostazione di sicurezza su Abilitato. Riavviare per rendere effettive le modifiche.

In alcuni casi (soprattutto se si utilizzano certificati autofirmati su Server 2012 R2), potrebbe essere necessario impostare l'opzione Criterio di sicurezza di rete: livello di autenticazione LAN Manager su Invia solo risposte NTLMv2.

Fammi sapere se questo funziona anche per te.