RDP को तोड़े बिना मैं TLS 1.0 को कैसे निष्क्रिय करूं?

हमारे क्रेडिट कार्ड प्रोसेसर ने हाल ही में हमें सूचित किया कि 30 जून, 2016 तक हमें PCI अनुपालन के लिए TLS 1.0 को निष्क्रिय करना होगा । मैंने हमारे विंडोज सर्वर 2008 आर 2 मशीन पर टीएलएस 1.0 को अक्षम करके सक्रिय होने की कोशिश की, केवल यह जानने के लिए कि रिबूट के तुरंत बाद मैं दूरस्थ डेस्कटॉप प्रोटोकॉल (आरडीपी) के माध्यम से इसे कनेक्ट करने में पूरी तरह से असमर्थ था। कुछ शोध के बाद, ऐसा प्रतीत होता है कि आरडीपी केवल टीएलएस 1.0 ( यहाँ या यहाँ देखें ) का समर्थन करता है , या कम से कम यह स्पष्ट नहीं है कि आरएलएस को टीएलएस 1.1 या टीएलएस 1.2 से अधिक कैसे सक्षम किया जाए। क्या कोई RDP को तोड़े बिना Windows Server 2008 R2 पर TLS 1.0 को निष्क्रिय करने का तरीका जानता है? क्या TLS 1.1 या TLS 1.2 पर RDP के लिए Microsoft योजना का समर्थन करता है?

नोट: RDP सुरक्षा परत का उपयोग करने के लिए सर्वर को कॉन्फ़िगर करके इसे करने का एक तरीका प्रतीत होता है, लेकिन यह नेटवर्क स्तर प्रमाणीकरण को अक्षम करता है , जो दूसरे के लिए एक बुराई की तरह लगता है।

अद्यतन 1 : Microsoft ने अब इस समस्या का समाधान किया है। प्रासंगिक सर्वर अपडेट के लिए नीचे दिया गया उत्तर देखें ।

अद्यतन 2 : Microsoft ने PCI DSS 3.1 के लिए SQL सर्वर समर्थन के बारे में एक ट्यूटोरियल जारी किया है ।

Microsoft ने इस समस्या के लिए पैच 15 सितंबर, 2015 को जारी किया

Https://support.microsoft.com/en-us/kb/3080079 देखें

मैं इसे अभी कुछ दिनों के लिए देख रहा हूं क्योंकि हमें PCI-DSS 3.1 का अनुपालन करना है जिसके लिए TLS 1.0 को निष्क्रिय करना आवश्यक है।

हम आरडीपी सिक्योरिटी लेयर से भी पीछे नहीं हटना चाहते हैं, जो एक प्रमुख सुरक्षा चिंता है।

मैं आखिरकार कुछ दस्तावेज खोजने में कामयाब रहा जो पुष्टि करता है कि टीएलएस 1.1 और टीएलएस 1.2 आरडीपी द्वारा समर्थित हैं। यह दस्तावेज़ एक SChannel लॉगिंग और RDP के लिए एक बहुत विस्तृत विनिर्देश में छिपा हुआ है ।

टेक्नेट या अन्य Microsoft साइटों पर मुख्य धारा के प्रलेखन का पूर्ण अभाव है, ऐसा लगता है कि यहाँ उम्मीद है कि यह कुछ लोगों को मदद कर सकता है।

प्रदान किए गए लिंक से प्रासंगिक अर्क:

MSDN लिंक से:

"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"

RDP विनिर्देशन PDF से:

"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"

"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5:  TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"

इसलिए एक यह निष्कर्ष निकालता है कि आप इस दस्तावेज के अनुसार विंडोज सर्वर 2008 आर 2 पर टीएलएस 1.1 या 1.2 का उपयोग कर सकते हैं।

हालाँकि हमारे परीक्षण ने साबित किया है कि यह टीएसएस 1.0 अक्षम है और आरएलडी सुरक्षा विकल्प टीएलएस 1.0 की आवश्यकता के लिए सेट होने पर विंडोज 7 आरडीपी क्लाइंट (संस्करण 6.3.9600) से काम नहीं करता है।

यह निश्चित रूप से टीएलएस 1.1 और 1.2 को सक्षम करने के साथ-साथ 2008R2 पर डिफ़ॉल्ट रूप से बंद है - संयोग से हम Nartac सॉफ्टवेयर से बहुत उपयोगी IIS क्रिप्टो टूल का उपयोग कर रहे हैं ।

जब इस मुद्दे को देख रहे हैं तो यह उपयोगी है कि जब आपका सत्र खोला जाए तो अधिक विवरण देखने के लिए SChannel लॉगिंग को सक्षम करें।

आप HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging कुंजी को 5 में बदलकर और रीबूट करके SChannel लॉगिंग सेट कर सकते हैं ।

एक बार यह हो जाने के बाद आप SChannel घटनाओं का निरीक्षण कर सकते हैं जो RDP कनेक्शन किए जाने पर TLS संस्करण का उपयोग किया जा रहा है। एक बार लॉगिंग सक्षम हो जाने पर, आप SChannel त्रुटि का अवलोकन कर सकते हैं जब RDP क्लाइंट टीएल 1.0 अक्षम के साथ विंडोज 2008 R2 पर एक कनेक्शन स्थापित करने का प्रयास करता है:

A fatal error occurred while creating an SSL server credential. The internal error state is 10013.

मैंने विंडोज सर्वर 2012 और 2012 R2 पर टीएलएस 1.0 को अक्षम करने का भी परीक्षण किया है जो मैं विंडोज 7 आरडीपी क्लाइंट का उपयोग करके पूरी तरह से काम की पुष्टि कर सकता हूं। SChannel लॉग प्रविष्टि टीएलएस 1.2 का उपयोग किया जा रहा है:

An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.

   Protocol: TLS 1.2
   CipherSuite: 0xC028
   Exchange strength: 256

मुझे आशा है कि यह किसी ऐसे व्यक्ति की मदद करता है जो इस पर स्पष्टीकरण की तलाश कर रहा है।

मैं Windows Server 2008 R2 में आरएलडी को टीएलएस 1.1 और टीएलएस 1.2 पर काम करने के तरीके के बारे में जानना जारी रखूंगा।

अद्यतन: 2015-AUG-05

हमने Microsoft समर्थन के साथ सर्वर 2008 R2 के साथ काम नहीं करने के लिए आरडीपी के मुद्दे को उठाया जिसमें पुन: पेश करने के चरण शामिल हैं।

कई हफ्तों के पीछे और आगे की ओर जाने के बाद, हमें आखिरकार सपोर्ट टीम से एक फोन कॉल मिला जिसे स्वीकार करने के लिए कि वे वास्तव में इसे पुन: पेश कर सकते हैं और इसे अब बग के रूप में वर्गीकृत किया गया है। एक अद्यतन पैच जारी किया जाएगा, फिलहाल यह अक्टूबर 2015 में अपेक्षित है। जैसे ही मेरे पास एक KB आलेख या अन्य विवरण होगा मैं उन्हें इस पद पर जोड़ दूंगा।

उम्मीद है कि विंडोज सर्वर 2008 आर 2 के साथ अटके हुए लोग पैच जारी होने के बाद कम से कम जून 2016 की समयसीमा से पहले इसे हल कर सकते हैं।

अद्यतन: 19 सितंबर 2015

Microsoft ने अंततः इस बारे में एक kb समर्थन लेख जारी किया है और मैं पुष्टि कर सकता हूं कि यह ठीक काम करता है।

इसके बजाय IPsec का उपयोग करें, जैसा कि दस्तावेज़ अनुशंसा करता है: "पहले एक जोरदार-एन्क्रिप्टेड सत्र सेट करना (जैसे IPsec सुरंग), फिर SSL पर डेटा सुरक्षित सुरंग में भेजना"

आरडीपी के लिए टीएलएस को कॉन्फ़िगर करने के लिए ऐसा करने का मुख्य कारण यह है कि फायरवॉल पॉलिसी को आसानी से अनुपालन के लिए ऑडिट किया जाता है (बनाम रजिस्ट्री बदलावों की एक श्रृंखला साबित होती है) और IPsec विंडोज़ में कॉन्फ़िगर करना बहुत आसान है।

यदि आपको पूर्ण सुइट बी की आवश्यकता होती है, तो 1.0 के साथ बीपीएस अनुपालन IPSEC उपयुक्त प्रमाणपत्र लंबाई पर लागू करने का एकमात्र तरीका है

यह प्रश्न का उत्तर नहीं है, लेकिन उप-प्रश्न के लिए "मैं एक वर्चुअल मशीन पर दूरस्थ पहुंच को कैसे पुनर्स्थापित करूं जहां मैंने टीएलएस 1.0 को निष्क्रिय कर दिया है और कोई भौतिक पहुंच नहीं है?"।

मैंने IISCrypto का उपयोग करते हुए TLS 1.0 को अक्षम कर दिया, जिसने साइड इफ़ेक्ट के बारे में एक उपयोगी चेतावनी दी कि RDP अगर यह TLS पर सेट है तो काम करना बंद कर देगा। तो मैं में जाँच:

Admin Tools\Remote Desktop Services\Remote Desktop Session Host Configuration, RDP-Tcp, General Tab, Security Layer

और मेरा सुरक्षा स्तर "वार्ता" के लिए सेट किया गया था। मैंने यह मान लिया कि यदि टीएलएस उपलब्ध नहीं है, तो यह आरडीपी सुरक्षा को ख़राब कर देगा।

लेकिन नहीं, नेगोशिएट उस तरह से काम नहीं करता है। TLS 1.0 को अक्षम करने से पहले आपको सुरक्षा स्तर को RDP सुरक्षा पर सेट करना होगा, नकारात्मक नहीं।

इसलिए मैंने अपने AWS उदाहरण से रिमोट कनेक्ट करने की क्षमता खो दी!

फिर से जोड़ने के लिए, मैंने दूसरे AWS उदाहरण का उपयोग किया।

1. मैंने उस मशीन से फ़ायरवॉल कनेक्शन को मेरी "खोई" मशीन में अनुमति देने के लिए SecurityGroup को अद्यतन किया।
2. मैंने DOS में एक व्यवस्थापक उपयोगकर्ता और पासवर्ड के साथ एक प्रशासनिक नेटवर्क साझा किया:

net use \\lost_machine_ip\c$

3. फिर मैंने रीडगिट खोला, और फ़ाइल मेनू में, "नेटवर्क रजिस्ट्री कनेक्ट करें" चुनें और "खो" सर्वर के आईपी में डाल दिया। आपको दूरस्थ सर्वर रजिस्ट्री को देखना चाहिए। के लिए जाओ :

\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

और SecurityLayer0 (0 RDP सुरक्षा) के लिए मान सेट करें ।

आप आवश्यकता पड़ने पर IISCrypto में रिमोट कनेक्ट, और reenable TLS 1.0 कर पाएंगे।

आपको अपने विंडोज 7 कंप्यूटर और विंडोज सर्वर 2008 आर 2 सर्वर पर आरडीपी 8.0 स्थापित करना होगा, और फिर स्थानीय कंप्यूटर नीति या समूह नीति पर आरडीपी 8.0 को सक्षम करना होगा।

यहाँ RDP 8.0 के लिए Microsoft KB है। https://support.microsoft.com/en-us/kb/2592687

एक बार जब यह हो जाता है तो आपको कंप्यूटर और सर्वर पर टीएलएस 1.0 को अक्षम करने में सक्षम होना चाहिए, जैसा कि इस तकनीकी लेख में निर्देशानुसार रजिस्ट्री को संपादित करके किया गया है। https://technet.microsoft.com/en-us/library/dn786418.aspx

RDP 8.0 स्थापित करने के बाद आप RDP 8.1 भी स्थापित कर सकते हैं, लेकिन RDP 8.0 को RDP 8.1 स्थापित करने से पहले स्थापित किया जाना चाहिए। RDP 8.0 में क्लाइंट और सर्वर-साइड प्रोटोकॉल दोनों घटक शामिल हैं, लेकिन RDP 8.1 में केवल क्लाइंट शामिल है। RDP 8.1 के लिए Microsoft KB KB2830477 है।

मैंने अपनी विंडो 7 वर्कस्टेशन में से एक पर ये बदलाव किए और "दूरस्थ (आरडीपी) कनेक्शन के लिए विशिष्ट सुरक्षा परत के उपयोग की आवश्यकता" के साथ आरडीपी कनेक्शन का परीक्षण किया और यह सुनिश्चित करने के लिए "एसएसएल (टीएलएस 1.0)" सेट किया कि यह सुनिश्चित हो। RDP एन्क्रिप्शन पर वापस नहीं आएगा।

अद्यतन 6/19/2015:

मुझे अंततः हमारे विंडोज सर्वर 2008 R2 सर्वरों में से एक पर यह परीक्षण करने का मौका मिला, और यह निश्चित रूप से सर्वर से आरडीपी कनेक्शन तोड़ता है। ऐसा लगता है कि RDP 8.0 सर्वर-साइड घटक केवल विंडोज 7 कंप्यूटर पर इंस्टॉल किए जाते हैं, और विंडोज सर्वर 2008 R2 सर्वर पर स्थापित नहीं होते हैं।

सर्वर 2012 R2 पर RemoteApps को तोड़ने के बिना टीएलएस 1.0 को अक्षम करने के तरीके के रूप में पोस्ट किया गया है, लेकिन उन लिंक के लाभ के लिए यहां रीपोस्टिंग कर रहा है जो उस लिंक की निगरानी नहीं कर सकते हैं:

लगभग एक साल के बाद, मैंने आखिरकार आरडीपी और रिमोट डेस्कटॉप सर्विसेज कनेक्टिविटी को तोड़ने और रिमोटएप्स को लॉन्च किए बिना टीएलएस 1.0 / 1.1 को अक्षम करने के लिए एक काम कर समाधान निकाला।

IISCrypto चलाएं और TLS 1.0, TLS 1.1 और सभी बुरे सिफर को अक्षम करें।

दूरस्थ डेस्कटॉप सेवा सर्वर पर गेटवे की भूमिका निभाते हुए, स्थानीय सुरक्षा नीति खोलें और सुरक्षा विकल्पों पर नेविगेट करें - सिस्टम क्रिप्टोग्राफ़ी: एन्क्रिप्शन, हैशिंग और साइनिंग के लिए FIPS अनुपालन एल्गोरिदम का उपयोग करें। सुरक्षा सेटिंग को सक्षम में बदलें। परिवर्तन प्रभावी होने के लिए रिबूट।

ध्यान दें कि कुछ मामलों में (विशेषकर यदि सर्वर 2012 R2 पर स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग कर रहे हैं), सुरक्षा नीति विकल्प नेटवर्क सुरक्षा: LAN प्रबंधक प्रमाणीकरण स्तर केवल NTLMv2 प्रतिसाद भेजने के लिए सेट करने की आवश्यकता हो सकती है।

बस इस पर एक अद्यतन अगर कोई और इस पर जानकारी के लिए देख रहा है। मेरे विंडोज 7 64-बिट बॉक्स के लिए मुझे KB2574819 (पहले) और KB2592687 (दूसरे) को स्थापित करना होगा विंडोज 7 में उन 2 pkgs को स्थापित करने से पहले SP1 को स्थापित करना होगा। यदि आपके पास SP1 स्थापित करने के मुद्दे हैं जैसे मैंने किया था, तो मुझे पहले KB958830 की स्थापना रद्द करनी थी, फिर SP1 स्थापित करें।

मेरे Windows Server 2008 R2 बक्से के लिए, मुझे KB3080079 स्थापित करना था। एक बार जब आप ऐसा करते हैं और आपके पास सुरक्षित संचार के लिए सभी उपयुक्त सेटिंग्स होती हैं, तो यह TLS 1.2 का उपयोग करेगा। आप अपने दो बॉक्स के बीच संचार पर कब्जा करने के लिए Wireshark का उपयोग करके पुष्टि कर सकते हैं।

मैंने इस समस्या को हल करने के लिए लिनक्स के लिए rdesktop ( http://www.rdesktop.org ) का सफलतापूर्वक उपयोग किया है।

मौजूदा उत्तरों द्वारा कवर नहीं किया गया एक मामला: आरडीपी गेटवे के माध्यम से जुड़ने वाले विंडोज 7 क्लाइंट अभी भी गेटवे से कनेक्ट होने पर टीएलएस 1.0 का उपयोग करेंगे और यदि गेटवे टीएलएस 1.0 का समर्थन नहीं करता है, तो केबी 80080079 को लागू करने के बाद भी , जैसा कि इस TechNet फोरम थ्रेड में देखा गया है। ।

आरडीपी गेटवे के माध्यम से कनेक्ट करने के लिए टीएलएस 1.2 का उपयोग करने के लिए, सुनिश्चित करें कि KB3140245 स्थापित है और निम्नलिखित रजिस्ट्री कुंजियों को जोड़ें ( .regआयात करने के लिए विस्तार के साथ एक फ़ाइल में सहेजें ):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

जैसा कि KB3140245 में प्रलेखित है , यह WINHTTP_OPTION_SECURE_PROTOCOLSडिफ़ॉल्ट रूप से TLS 1.2 (और केवल TLS 1.2) का उपयोग करने के लिए ओवरराइड करेगा । तो ध्यान रहे यह सिर्फ RDP क्लाइंट से ज्यादा प्रभावित होगा।

(नोट: पीछे की ओर-संगतता वांछित है, तो dword:00000800बदला जा सकता है dword:00000A00या dword:00000A80क्रमशः शामिल करने के लिए टीएलएस 1.1 और 1.0)