Como desabilitar o TLS 1.0 no Windows 2012 RDP

10

Background: A única coisa que posso encontrar sobre como fazer isso está relacionado ao RDP no Windows 2008, que parece ter algo chamado "Configuração do Host da Sessão da Área de Trabalho Remota" em Ferramentas Administrativas. Isso não existe no Windows 2012 e parece haver agora maneira de adicioná-lo através de um MMC também. Eu li aqui para 2008, usando o RDS Host Config, você pode isso fora.

Pergunta: Portanto, no Windows 2012, como você pode desativar o TLS 1.0, mas ainda conseguir RDP em um servidor Windows 2012?

Originalmente, meu entendimento é que ONLY O TLS 1.0 foi suportado no Win2012 RDP . No entanto, o TLS 1.0 de acordo com o PCI não é mais permitido. Isso era supostamente corrigido para o servidor Windows 2008r2 de acordo com este artigo . No entanto, isso não aborda o Server 2012 que nem sequer tem um aparato gui administrativo para fazer alterações nos protocolos que o RDP usará que eu conheço.

    
por Michael Barber 04.11.2015 / 22:15

4 respostas

5

Desabilitar o TLS é uma configuração de registro em todo o sistema:

link

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Além disso, o requisito de PCI para desabilitar o TLS antecipado não entrará em vigor até 30 de junho de 2016.

O Internet Explorer é um dos produtos que eu conheço que possui uma opção de configuração separada para as configurações de criptografia TLS / SSL. Pode haver outros.

Eu tenho um servidor Windows 2012 R2 com o TLS 1.0 desativado e posso fazer o trabalho remoto nele.

Se você está se perguntando, abaixo está uma captura de tela de tsconfig.msc em um servidor Windows 2008 R2 que tenha o KB3080079 instalado. Não há nada a configurar porque a única coisa que a atualização fez foi adicionar suporte para os outros dois níveis de criptografia TLS, de modo que, quando o TLS 1.0 estiver desabilitado, ele continue a funcionar.

    
por 04.11.2015 / 22:32
1

Se você desabilitar o TLS 1.0 e quiser que o RDP continue funcionando, use o Editor de Diretiva de Grupo local para selecionar a camada de segurança "Negociar" do RDP em "Configuração do Computador \ Modelos Administrativos \ Windows \ Componentes \ Serviços de Área de Trabalho Remota \ Remoto Host de Sessão da Área de Trabalho \ "Segurança" "Exige o uso de camada de segurança específica para conexões remotas (RDP)." e também selecione "Ativado". Isso também funciona em 2012R2.

    
por 31.03.2016 / 22:27
1

Após quase um ano, finalmente descobri uma solução funcional para desabilitar o TLS 1.0 / 1.1 sem interromper a conectividade do RDP e dos Serviços de Área de Trabalho Remota.

Execute o IISCrypto e desative o TLS 1.0, o TLS 1.1 e todas as cifras inválidas.

No servidor dos Serviços de Área de Trabalho Remota executando a função de gateway, abra a Política de Segurança Local e navegue até Opções de Segurança - Criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hashing e assinatura. Altere a configuração de segurança para Ativado. Reinicialize para que as alterações entrem em vigor.

Observe que, em alguns casos (especialmente se estiver usando certificados auto-assinados no Server 2012 R2), a opção Security Policy Network Security: LAN Manager pode precisar ser definida para Enviar apenas respostas NTLMv2.

Deixe-me saber se isso funciona para você também.

    
por 17.02.2017 / 16:06
0

Eu tenho o mesmo problema, quando desativo o TLSv1.0 no regedit, o RDS do Windows 2012 para de funcionar, até que eu reative o FIPS, mas quando ele ativa o FIPS, o TLSv1.0 reaparece.

Eu tentei tudo o que encontrei na internet. Eu acho que não é possível desabilitar o TLSv1.0 no Windows 2012 sem ter um efeito negativo nos serviços.

    
por 05.04.2017 / 16:02