So deaktivieren Sie TLS 1.0 in Windows 2012 RDP

Hintergrund: Das einzige, was ich dazu finden kann, bezieht sich auf RDP unter Windows 2008, das in den Verwaltungstools anscheinend als "Remotedesktop-Sitzungshostkonfiguration" bezeichnet wird. Dies ist in Windows 2012 NICHT vorhanden und es scheint nun eine Möglichkeit zu geben, es auch über eine MMC hinzuzufügen. Ich habe hier für 2008 gelesen , mit RDS Host Config können Sie es einfach ausschalten.

Frage: Wie können Sie in Windows 2012 TLS 1.0 deaktivieren und dennoch RDP in einen Windows 2012-Server integrieren?

Ursprünglich habe ich verstanden, dass NUR TLS 1.0 in Win2012 RDP unterstützt wurde . TLS 1.0 laut PCI ist jedoch nicht mehr zulässig. Dies sollte laut diesem Artikel für Windows Server 2008r2 behoben sein . Dies betrifft jedoch nicht Server 2012, der nicht einmal über einen administrativen GUI-Apparat verfügt, um Änderungen an den Protokollen vorzunehmen, die RDP verwenden wird, die mir bekannt sind.

Das Deaktivieren von TLS ist eine systemweite Registrierungseinstellung:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Die PCI-Anforderung zum Deaktivieren des frühen TLS tritt erst am 30. Juni 2016 in Kraft.

Internet Explorer ist ein mir bekanntes Produkt mit einer separaten Konfigurationsoption für die TLS / SSL-Verschlüsselungseinstellungen. Es kann andere geben.

Ich habe einen Windows 2012 R2-Server mit deaktiviertem TLS 1.0 und kann einen Remotedesktop verwenden.

Wenn Sie sich fragen, sehen Sie unten einen Screenshot von tsconfig.msc auf einem Windows 2008 R2-Server, auf dem KB3080079 installiert ist. Es muss nichts konfiguriert werden, da das Update lediglich die Unterstützung für die beiden anderen TLS-Verschlüsselungsstufen hinzugefügt hat, sodass TLS 1.0 weiterhin funktioniert, wenn es deaktiviert ist.

Wenn Sie TLS 1.0 deaktivieren und möchten, dass RDP weiter funktioniert, müssen Sie im lokalen Gruppenrichtlinien-Editor die Sicherheitsschicht "Aushandeln" für RDP unter "Computerkonfiguration \ Administrative Vorlagen \ Windows \ Komponenten \ Remotedesktopdienste \ Remotedesktopsitzungshost" auswählen \ Sicherheit "" Erfordert die Verwendung einer bestimmten Sicherheitsschicht für Remoteverbindungen (RDP). " und wählen Sie auch "Aktiviert". Dies funktioniert auch in 2012R2.

Nach fast einem Jahr fand ich endlich eine funktionierende Lösung zum Deaktivieren von TLS 1.0 / 1.1, ohne die Konnektivität von RDP und Remotedesktopdiensten zu unterbrechen.

Führen Sie IISCrypto aus und deaktivieren Sie TLS 1.0, TLS 1.1 und alle fehlerhaften Chiffren.

Öffnen Sie auf dem Remotedesktopdiensteserver, auf dem die Gateway-Rolle ausgeführt wird, die lokale Sicherheitsrichtlinie und navigieren Sie zu Sicherheitsoptionen - Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen zum Verschlüsseln, Hashing und Signieren. Ändern Sie die Sicherheitseinstellung in Aktiviert. Starten Sie neu, damit die Änderungen wirksam werden.

Beachten Sie, dass in einigen Fällen (insbesondere bei Verwendung von selbstsignierten Zertifikaten unter Server 2012 R2) die Sicherheitsrichtlinienoption Netzwerksicherheit: LAN Manager-Authentifizierungsstufe möglicherweise auf Nur NTLMv2-Antworten senden festgelegt werden muss.

Lassen Sie mich wissen, ob dies auch für Sie funktioniert.