it-swarm.com.de

So deaktivieren Sie TLS 1.0 in Windows 2012 RDP

Hintergrund: Das einzige, was ich dazu finden kann, bezieht sich auf RDP unter Windows 2008, das in den Verwaltungstools anscheinend als "Remotedesktop-Sitzungshostkonfiguration" bezeichnet wird. Dies ist in Windows 2012 NICHT vorhanden und es scheint nun eine Möglichkeit zu geben, es über eine MMC auch hinzuzufügen. Ich lese hier für 2008 mit RDS Host Config, Sie können es einfach aus.

Frage: Wie können Sie in Windows 2012 TLS 1.0 deaktivieren und dennoch RDP in einen Windows 2012-Server einbinden?

Ursprünglich verstehe ich, dass NUR TLS 1.0 wurde in Win2012 RDP unterstützt . TLS 1.0 laut PCI ist jedoch nicht mehr zulässig. Dies sollte für Windows Server 2008r2 gemäß dieser Artikel behoben werden. Dies betrifft jedoch nicht Server 2012, der nicht einmal über einen administrativen GUI-Apparat verfügt, um Änderungen an den Protokollen vorzunehmen, die RDP verwenden wird, die mir bekannt sind.

12
Michael Barber

Das Deaktivieren von TLS ist eine systemweite Registrierungseinstellung:

https://technet.Microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS1

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Die PCI-Anforderung zum Deaktivieren des frühen TLS tritt erst am 30. Juni 2016 in Kraft.


Internet Explorer ist ein mir bekanntes Produkt mit einer separaten Konfigurationsoption für die TLS/SSL-Verschlüsselungseinstellungen. Es kann andere geben.

Ich habe einen Windows 2012 R2-Server mit deaktiviertem TLS 1.0 und kann einen Remotedesktop verwenden.

Wenn Sie sich fragen, sehen Sie unten einen Screenshot von tsconfig.msc auf einem Windows 2008 R2-Server, auf dem KB3080079 installiert ist. Es muss nichts konfiguriert werden, da das Update nur die Unterstützung für die beiden anderen TLS-Verschlüsselungsstufen hinzugefügt hat, sodass TLS 1.0 weiterhin funktioniert, wenn es deaktiviert ist.

(enter image description here

7
Greg Askew

Wenn Sie TLS 1.0 deaktivieren und möchten, dass RDP weiter funktioniert, müssen Sie mit dem lokalen Gruppenrichtlinien-Editor die Sicherheitsschicht "Aushandeln" für RDP unter "Computerkonfiguration\Administrative Vorlagen\Windows\Komponenten\Remotedesktopdienste\Remotedesktopsitzungshost" auswählen\Sicherheit "" Erfordert die Verwendung einer bestimmten Sicherheitsschicht für Remoteverbindungen (RDP). " und wählen Sie auch "Aktiviert". Dies funktioniert auch in 2012R2.

1
user346630

Nach fast einem Jahr fand ich endlich eine funktionierende Lösung zum Deaktivieren von TLS 1.0/1.1, ohne die Konnektivität von RDP und Remotedesktopdiensten zu unterbrechen.

Führen Sie IISCrypto aus und deaktivieren Sie TLS 1.0, TLS 1.1 und alle fehlerhaften Chiffren.

Öffnen Sie auf dem Remotedesktopdiensteserver, auf dem die Gateway-Rolle ausgeführt wird, die lokale Sicherheitsrichtlinie und navigieren Sie zu Sicherheitsoptionen - Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen zum Verschlüsseln, Hashing und Signieren. Ändern Sie die Sicherheitseinstellung auf Aktiviert. Starten Sie neu, damit die Änderungen wirksam werden.

Beachten Sie, dass in einigen Fällen (insbesondere bei Verwendung von selbstsignierten Zertifikaten unter Server 2012 R2) die Sicherheitsrichtlinienoption Netzwerksicherheit: LAN Manager-Authentifizierungsstufe möglicherweise auf Nur NTLMv2-Antworten senden festgelegt werden muss.

Lassen Sie mich wissen, ob dies auch für Sie funktioniert.

1
cardiothoracics