Windows 2012 RDP में TLS 1.0 को अक्षम कैसे करें

पृष्ठभूमि: केवल एक चीज जो मैं यह कर सकता हूं कि यह कैसे करना है RDP विंडोज 2008 पर संबंधित है, जो लगता है कि प्रशासनिक उपकरण में "दूरस्थ डेस्कटॉप सत्र होस्ट कॉन्फ़िगरेशन" नामक कुछ है। यह विंडोज़ 2012 में मौजूद नहीं है और अब एमएमसी के माध्यम से इसे जोड़ने का तरीका भी प्रतीत होता है। मैंने 2008 के लिए यहां पढ़ा , आरडीएस होस्ट कॉन्फ़िगरेशन का उपयोग करके, आप इसे बंद कर सकते हैं।

प्रश्न: तो, विंडोज़ 2012 में, आप टीएलएस 1.0 को कैसे बंद कर सकते हैं, लेकिन फिर भी आरडीपी को विंडोज 2012 सर्वर में सक्षम कर सकते हैं?

मूल रूप से, मेरी समझ यह है कि Win2012 RDP में केवल TLS 1.0 का समर्थन किया गया था । हालांकि, पीसीआई के अनुसार टीएलएस 1.0 की अब अनुमति नहीं है। यह इस आलेख के अनुसार विंडोज सर्वर 2008r2 के लिए तय किया गया था । हालाँकि, यह सर्वर 2012 को संबोधित नहीं करता है जिसमें प्रोटोकॉल के परिवर्तन करने के लिए एक प्रशासनिक gui तंत्र भी नहीं है जो कि RDP उपयोग करेगा जो इसके बारे में जानते हैं।

TLS को अक्षम करना एक सिस्टम-वाइड रजिस्ट्री सेटिंग है:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

इसके अलावा, शुरुआती टीएलएस को अक्षम करने के लिए पीसीआई की आवश्यकता 30 जून, 2016 तक लागू नहीं होगी।

Internet Explorer एक ऐसा उत्पाद है जिसके बारे में मुझे पता है कि TLS / SSL एन्क्रिप्शन सेटिंग्स के लिए एक अलग कॉन्फ़िगरेशन विकल्प है। और भी हो सकते हैं।

मेरे पास टीएलएस 1.0 अक्षम के साथ एक विंडोज 2012 आर 2 सर्वर है और मैं इसे डेस्कटॉप को दूरस्थ कर सकता हूं।

अगर आप सोच रहे हैं, तो नीचे विंडोज 2008 आर 2 सर्वर पर tsconfig.msc का स्क्रीनशॉट है जिसमें KB3080079 स्थापित है। कॉन्फ़िगर करने के लिए कुछ भी नहीं है क्योंकि केवल एक चीज जिसे अपडेट किया गया था वह अन्य दो टीएलएस एन्क्रिप्शन स्तरों के लिए समर्थन जोड़ रहा था ताकि जब टीएलएस 1.0 अक्षम हो जाए तो यह काम करना जारी रखे।

यदि आप TLS 1.0 को अक्षम करते हैं और चाहते हैं कि RDP काम करती रहे, तो स्थानीय समूह नीति संपादक का उपयोग करके आपको "कंप्यूटर कॉन्फ़िगरेशन \ व्यवस्थापकीय टेम्पलेट \ Windows \ Components \ Remote Desktop Services \ Remote Desktop Y होस्ट" में RDP के लिए "Negotiate" सुरक्षा परत का चयन करना होगा \ "सुरक्षा" को दूरस्थ (RDP) कनेक्शन के लिए विशिष्ट सुरक्षा परत के उपयोग की आवश्यकता है। " और "सक्षम" भी चुनें। यह 2012R2 में भी काम करता है।

लगभग एक वर्ष के बाद, मैंने आखिरकार आरडीपी और रिमोट डेस्कटॉप सर्विसेज कनेक्टिविटी को तोड़े बिना टीएलएस 1.0 / 1.1 को निष्क्रिय करने के लिए एक काम कर समाधान निकाला।

IISCrypto चलाएं और TLS 1.0, TLS 1.1 और सभी बुरे सिफर को अक्षम करें।

दूरस्थ डेस्कटॉप सेवा सर्वर पर गेटवे की भूमिका निभाते हुए, स्थानीय सुरक्षा नीति खोलें और सुरक्षा विकल्पों पर नेविगेट करें - सिस्टम क्रिप्टोग्राफ़ी: एन्क्रिप्शन, हैशिंग और साइनिंग के लिए FIPS अनुपालन एल्गोरिदम का उपयोग करें। सुरक्षा सेटिंग को सक्षम में बदलें। परिवर्तन प्रभावी होने के लिए रिबूट।

ध्यान दें कि कुछ मामलों में (विशेषकर यदि सर्वर 2012 R2 पर स्वयं हस्ताक्षरित प्रमाण पत्र का उपयोग कर रहे हैं), सुरक्षा नीति विकल्प नेटवर्क सुरक्षा: LAN प्रबंधक प्रमाणीकरण स्तर केवल NTLMv2 प्रतिसाद भेजने के लिए सेट करने की आवश्यकता हो सकती है।

मुझे बताएं कि क्या यह आपके लिए भी काम करता है।