Bagaimana cara menonaktifkan TLS 1.0 tanpa melanggar RDP?

Prosesor kartu kredit kami baru-baru ini memberi tahu kami bahwa pada 30 Juni 2016, kami harus menonaktifkan TLS 1.0 agar tetap mematuhi PCI . Saya mencoba untuk menjadi proaktif dengan menonaktifkan TLS 1.0 pada mesin Windows Server 2008 R2 kami, hanya untuk menemukan bahwa segera setelah reboot saya benar-benar tidak dapat terhubung ke sana melalui Remote Desktop Protocol (RDP). Setelah beberapa penelitian, tampaknya RDP hanya mendukung TLS 1.0 (lihat di sini atau di sini ), atau setidaknya tidak jelas bagaimana mengaktifkan RDP melalui TLS 1.1 atau TLS 1.2. Adakah yang tahu cara untuk menonaktifkan TLS 1.0 pada Windows Server 2008 R2 tanpa melanggar RDP? Apakah Microsoft merencanakan dukungan untuk RDP melalui TLS 1.1 atau TLS 1.2?

Catatan: Tampaknya ada cara untuk melakukannya dengan mengonfigurasi server untuk menggunakan RDP Security Layer tetapi itu menonaktifkan Otentikasi Tingkat Jaringan , yang sepertinya memperdagangkan satu kejahatan dengan yang lain.

PEMBARUAN 1 : Microsoft sekarang telah mengatasi masalah ini. Lihat jawaban di bawah ini untuk pembaruan server yang relevan.

UPDATE 2 : Microsoft telah merilis tutorial tentang Dukungan SQL Server untuk PCI DSS 3.1 .

Microsoft merilis patch untuk masalah ini 15 Sep 2015

Lihat https://support.microsoft.com/en-us/kb/3080079

Saya telah melihat ini selama beberapa hari sekarang karena kita harus mematuhi PCI-DSS 3.1 yang mengharuskan TLS 1.0 dinonaktifkan.

Kami juga tidak ingin kembali ke RDP Security Layer yang merupakan masalah keamanan utama.

Saya akhirnya berhasil menemukan beberapa dokumentasi yang mengkonfirmasi bahwa TLS 1.1 dan TLS 1.2 didukung oleh RDP. Dokumentasi ini disembunyikan dalam logging SChannel dan spesifikasi yang sangat rinci untuk RDP .

Ada kekurangan dokumentasi aliran utama di Technet atau situs Microsoft lainnya, jadi semoga mendokumentasikan ini di sini dapat membantu beberapa orang.

Ekstrak yang relevan dari tautan yang disediakan:

Dari tautan MSDN:

"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"

Dari spesifikasi RDP PDF:

"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"

"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5:  TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"

Oleh karena itu orang akan menyimpulkan bahwa Anda dapat menggunakan TLS 1.1 atau 1.2 pada Windows Server 2008 R2 sesuai dengan dokumentasi ini.

Namun pengujian kami telah membuktikan ini TIDAK berfungsi dari klien Windows 7 RDP (versi 6.3.9600) ketika TLS 1.0 dinonaktifkan dan opsi keamanan RDP diatur untuk memerlukan TLS 1.0.

Ini tentu saja serta mengaktifkan TLS 1.1 dan 1.2 yang dinonaktifkan secara default pada 2008R2 - kebetulan kami melakukan ini menggunakan Alat Crypto IIS yang sangat berguna dari Nartac Software .

Ketika melihat masalah ini, penting untuk mengaktifkan pendataan SChannel untuk melihat lebih detail tentang apa yang terjadi ketika sesi Anda dibuka.

Anda dapat mengatur SChannel logging dengan mengubah HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging kunci ke 5 dan me-reboot.

Setelah ini dilakukan, Anda dapat mengamati acara SChannel yang menunjukkan versi TLS digunakan ketika koneksi RDP dibuat. Setelah logging diaktifkan, Anda dapat mengamati kesalahan SChannel ketika klien RDP mencoba untuk membuat koneksi pada Windows 2008 R2 dengan TLS 1.0 dinonaktifkan:

A fatal error occurred while creating an SSL server credential. The internal error state is 10013.

Saya juga telah menguji menonaktifkan TLS 1.0 pada Windows Server 2012 dan 2012 R2 yang dapat saya konfirmasi berfungsi dengan baik menggunakan Windows 7 RDP Client. Entri log SChannel menunjukkan TLS 1.2 sedang digunakan:

An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.

   Protocol: TLS 1.2
   CipherSuite: 0xC028
   Exchange strength: 256

Saya harap ini membantu seseorang yang mencari klarifikasi tentang ini.

Saya akan terus mencari bagaimana kita bisa membuat RDP bekerja pada TLS 1.1 dan TLS 1.2 di Windows Server 2008 R2.

UPDATE: 2015-AUG-05

Kami mengangkat masalah RDP yang tidak bekerja dengan Server 2008 R2 dengan dukungan Microsoft termasuk langkah-langkah untuk mereproduksi.

Setelah beberapa minggu mundur dan maju, kami akhirnya menerima panggilan telepon hari ini dari tim dukungan untuk mengetahui bahwa mereka memang dapat mereproduksi dan ini sekarang dikategorikan sebagai bug. Patch pembaruan akan dirilis, saat ini diharapkan pada Oktober 2015. Begitu saya memiliki artikel KB atau detail lainnya, saya akan menambahkannya ke posting ini.

Semoga mereka yang terjebak dengan Windows Server 2008 R2 setidaknya bisa menyelesaikan masalah ini sebelum batas waktu Juni 2016 setelah tambalan dirilis.

PEMBARUAN: 19 September 2015

Microsoft akhirnya merilis artikel dukungan kb tentang ini di sini dan saya dapat mengonfirmasi bahwa itu berfungsi OK.

Gunakan IPsec sebagai gantinya, seperti yang direkomendasikan dokumen: "Menyiapkan sesi yang sangat terenkripsi terlebih dahulu (misalnya terowongan IPsec), kemudian mengirim data melalui SSL dalam terowongan aman"

Alasan utama untuk melakukan ini lebih dari mengkonfigurasi TLS untuk RDP adalah bahwa kebijakan firewall mudah diaudit untuk kepatuhan (vs membuktikan bahwa perubahan registri sesuai) dan IPsec cukup mudah untuk dikonfigurasi di windows.

Jika Anda membutuhkan suite B kepatuhan penuh IPSEC dengan tls 1.0 adalah satu-satunya cara yang tersedia untuk menerapkan panjang sertifikat yang sesuai

Ini bukan jawaban untuk pertanyaan, tetapi untuk sub-pertanyaan "Bagaimana cara mengembalikan akses jarak jauh ke mesin virtual tempat saya menonaktifkan TLS 1.0 dan tanpa akses fisik?".

Saya menonaktifkan TLS 1.0 menggunakan IISCrypto, yang memberikan peringatan bermanfaat tentang efek samping yang RDP akan berhenti bekerja jika diatur ke TLS. Jadi saya check in:

Admin Tools\Remote Desktop Services\Remote Desktop Session Host Configuration, RDP-Tcp, General Tab, Security Layer

dan Tingkat Keamanan saya diatur ke "Negosiasi". Saya berasumsi ini berarti jika TLS tidak tersedia, itu dengan anggun akan menurunkan ke Keamanan RDP.

Tapi tidak, Negosiasi tidak berfungsi seperti itu. Anda harus mengatur Tingkat Keamanan ke Keamanan RDP, bukan Negosiasi, sebelum Anda menonaktifkan TLS 1.0.

Jadi saya kehilangan kemampuan saya untuk melakukan koneksi jarak jauh ke instance AWS saya!

Untuk menghubungkan kembali, saya menggunakan instance AWS lain.

1. Saya memperbarui SecurityGroup untuk mengizinkan koneksi firewall dari mesin itu ke mesin "hilang" saya.
2. Saya membuka berbagi jaringan administratif dalam DOS, dengan pengguna admin dan kata sandi:

net use \\lost_machine_ip\c$

3. Lalu saya membuka Regedit, dan di menu File, pilih "Connect Network Registry" dan masukkan IP dari server "yang hilang". Anda akan melihat registri server jarak jauh. Pergi ke :

\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

dan atur nilainya SecurityLayermenjadi 0 (0 adalah Keamanan RDP).

Anda kemudian akan dapat melakukan koneksi jarak jauh, dan mengaktifkan kembali TLS 1.0 di IISCrypto jika diperlukan.

Anda perlu menginstal RDP 8.0 di komputer Windows 7 dan server Windows Server 2008 R2, dan kemudian mengaktifkan RDP 8.0 di kebijakan komputer lokal atau kebijakan grup.

Berikut adalah Microsoft KB untuk RDP 8.0. https://support.microsoft.com/en-us/kb/2592687

Setelah ini selesai, Anda harus dapat menonaktifkan TLS 1.0 di komputer dan server dengan mengedit registri seperti yang diperintahkan dalam artikel ini. https://technet.microsoft.com/en-us/library/dn786418.aspx

Setelah menginstal RDP 8.0 Anda juga dapat menginstal RDP 8.1, tetapi RDP 8.0 harus diinstal sebelum menginstal RDP 8.1. RDP 8.0 berisi komponen klien dan protokol sisi-server, tetapi RDP 8.1 hanya mencakup klien. Microsoft KB untuk RDP 8.1 adalah KB2830477.

Saya membuat perubahan ini di salah satu workstation windows 7 saya dan menguji koneksi RDP dengan "Memerlukan penggunaan lapisan keamanan khusus untuk koneksi jarak jauh (RDP)" Pengaturan Kebijakan Grup diaktifkan dan diatur ke "SSL (TLS 1.0)" untuk memastikan bahwa itu tidak akan kembali ke Enkripsi RDP.

PEMBARUAN 6/19/2015:

Saya akhirnya mendapat kesempatan untuk menguji ini di salah satu server Windows Server 2008 R2 kami, dan itu pasti memutus koneksi RDP ke server. Tampaknya komponen sisi server RDP 8.0 hanya diinstal pada komputer Windows 7, dan tidak diinstal pada server Windows Server 2008 R2.

Seperti yang diposting di Cara menonaktifkan TLS 1.0 tanpa melanggar RemoteApps di server 2012 R2 tetapi meng-reposting di sini untuk kepentingan mereka yang mungkin tidak memonitor tautan itu:

Setelah hampir setahun, saya akhirnya menemukan solusi untuk menonaktifkan TLS 1.0 / 1.1 tanpa memutus konektivitas RDP dan Remote Desktop Services dan meluncurkan RemoteApps:

Jalankan IISCrypto dan nonaktifkan TLS 1.0, TLS 1.1 dan semua cipher yang buruk.

Pada server Layanan Desktop Jarak Jauh yang menjalankan peran gateway, buka Kebijakan Keamanan Lokal dan navigasikan ke Opsi Keamanan - Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk enkripsi, hashing, dan penandatanganan. Ubah pengaturan keamanan ke Diaktifkan. Mulai ulang agar perubahan diterapkan.

Perhatikan bahwa dalam beberapa kasus (terutama jika menggunakan sertifikat yang ditandatangani sendiri pada Server 2012 R2), opsi Kebijakan Keamanan Keamanan Jaringan: Tingkat otentikasi manajer LAN mungkin perlu diatur untuk mengirim respons NTLMv2 saja.

Hanya pembaruan tentang ini jika ada orang lain yang mencari info tentangnya. Untuk kotak Windows 7 64-bit saya, saya harus menginstal KB2574819 (pertama) dan KB2592687 (kedua) Windows 7 harus menginstal SP1 sebelum 2 pkg itu akan diinstal. Jika Anda memiliki masalah menginstal SP1 seperti yang saya lakukan, saya harus menghapus KB958830 terlebih dahulu, kemudian instal SP1.

Untuk kotak Windows Server 2008 R2 saya, saya harus menginstal KB3080079. Setelah Anda melakukan ini dan memiliki semua pengaturan yang sesuai untuk komunikasi aman, maka itu akan menggunakan TLS 1.2 Anda dapat mengonfirmasi dengan menggunakan Wireshark untuk melakukan penangkapan komunikasi antara dua kotak Anda.

Saya telah berhasil menggunakan rdesktop ( http://www.rdesktop.org ) untuk Linux untuk mengatasi masalah ini.

Satu kasus yang tidak dicakup oleh jawaban yang ada: Klien Windows 7 yang terhubung melalui RDP Gateway masih akan menggunakan TLS 1.0 saat menghubungkan ke gateway dan gagal jika gateway tidak mendukung TLS 1.0, bahkan setelah menerapkan KB3080079 , seperti yang diamati di utas forum TechNet ini .

Untuk menggunakan TLS 1.2 untuk menghubungkan melalui RDP Gateway, pastikan KB3140245 diinstal dan tambahkan kunci registri berikut (simpan dalam file dengan .regekstensi untuk diimpor):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

Seperti yang didokumentasikan dalam KB3140245 , ini akan menggantikan WINHTTP_OPTION_SECURE_PROTOCOLSmenggunakan TLS 1.2 (dan hanya TLS 1.2) secara default. Jadi waspadai itu akan mempengaruhi lebih dari sekedar klien RDP.

(Catatan: Jika kompatibilitas ke belakang diinginkan, dword:00000800dapat diubah dword:00000A00atau dword:00000A80untuk memasukkan masing-masing TLS 1.1 dan 1.0)