Cómo deshabilitar TLS 1.0 en Windows 2012 RDP

12

Antecedentes: Lo único que puedo encontrar sobre cómo hacer esto se relaciona con RDP en Windows 2008, que parece tener algo llamado "Configuración de host de sesión de escritorio remoto" en Herramientas administrativas. Esto NO existe en Windows 2012 y parece que ahora también hay forma de agregarlo a través de una MMC. Leí aquí para 2008, usando la configuración de host RDS, puede simplemente apagarlo.

Pregunta: Entonces, en Windows 2012, ¿cómo puede desactivar TLS 1.0, pero aún así poder convertir RDP en un servidor Windows 2012?

Originalmente, entiendo que SOLO TLS 1.0 fue compatible con Win2012 RDP . Sin embargo, TLS 1.0 según PCI ya no está permitido. Se supone que esto se solucionó para el servidor de Windows 2008r2 según este artículo . Sin embargo, esto no aborda el Servidor 2012 que ni siquiera tiene un aparato de interfaz gráfica de usuario administrativo para realizar cambios en los protocolos que utilizará RDP que conozco.

Michael Barber
fuente
¿Cuál es el resultado del vercomando?
Greg Askew

Respuestas:

7

Deshabilitar TLS es una configuración de registro de todo el sistema:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Además, el requisito de PCI para deshabilitar TLS temprana no entrará en vigencia hasta el 30 de junio de 2016.


Internet Explorer es un producto que conozco que tiene una opción de configuración separada para la configuración de cifrado TLS / SSL. Puede haber otros.

Tengo un servidor Windows 2012 R2 con TLS 1.0 deshabilitado y puedo usar el escritorio remoto.

Si se está preguntando, a continuación se muestra una captura de pantalla de tsconfig.msc en un servidor Windows 2008 R2 que tiene instalado KB3080079. No hay nada que configurar porque lo único que hizo la actualización fue agregar soporte para los otros dos niveles de cifrado TLS para que cuando TLS 1.0 esté deshabilitado, continúe funcionando.

ingrese la descripción de la imagen aquí

Greg Askew
fuente
Su instrucción es cómo deshabilitar TLS 1.0 "en todo el servidor" y no es específico para RDP. Si los sigo, ya no puedo acceder al servidor a través de RDP. Esto podría muy bien ser que RDP todavía esté usando TLS 1.0 a pesar de estar deshabilitado como SChannel, lo que de alguna manera vuelve a la pregunta de cómo asegurarse de que TAMBIÉN se cambie o se notifique a RDP.
Michael Barber el
Esta bien, tienes razón. Parece que funciona si el cliente RDP está en la versión 8 y no 7.1 por KB. Es "desafortunado" que Microsoft eliminó este control que estaba disponible anteriormente. Muy decepcionado con Win-server 2012 - se siente como un paso hacia abajo para Win-server 2008
Michael Barber
@MichaelBarber ¿Estaba preguntando sobre Win 2012, pero su comentario anterior es sobre 2008? Para mayor claridad, ¿deshabilitó TLS 1.0 en Windows 2012 Standard R2 sin ningún problema? por ejemplo, ¿aún pudiste usar el escritorio remoto en el servidor?
neildt
1

Si deshabilita TLS 1.0 y desea que RDP siga funcionando, entonces, utilizando el Editor de directivas de grupo local, debe seleccionar la capa de seguridad "Negociar" para RDP en "Configuración del equipo \ Plantillas administrativas \ Windows \ Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Seguridad "" Requiere el uso de una capa de seguridad específica para conexiones remotas (RDP) ". y también seleccione "Habilitado". Esto también funciona en 2012R2.

usuario346630
fuente
1

Después de casi un año, finalmente descubrí una solución de trabajo para deshabilitar TLS 1.0 / 1.1 sin interrumpir la conectividad de RDP y Servicios de escritorio remoto.

Ejecute IISCrypto y desactive TLS 1.0, TLS 1.1 y todos los cifrados incorrectos.

En el servidor de Servicios de Escritorio remoto que ejecuta la función de puerta de enlace, abra la Política de seguridad local y navegue a Opciones de seguridad - Criptografía del sistema: use algoritmos compatibles con FIPS para cifrado, hash y firma. Cambie la configuración de seguridad a Activado. Reinicie para que los cambios surtan efecto.

Tenga en cuenta que en algunos casos (especialmente si usa certificados autofirmados en Server 2012 R2), la opción de Política de seguridad Seguridad de red: el nivel de autenticación de LAN Manager puede necesitar configurarse para Enviar solo respuestas NTLMv2.

Avísame si esto también funciona para ti.

cardiotorácica
fuente