Saya telah melihat ini selama beberapa hari sekarang karena kita harus mematuhi PCI-DSS 3.1 yang mengharuskan TLS 1.0 dinonaktifkan.
Kami juga tidak ingin kembali ke RDP Security Layer yang merupakan masalah keamanan utama.
Saya akhirnya berhasil menemukan beberapa dokumentasi yang mengkonfirmasi bahwa TLS 1.1 dan TLS 1.2 didukung oleh RDP. Dokumentasi ini disembunyikan dalam logging SChannel dan spesifikasi yang sangat rinci untuk RDP .
Ada kekurangan dokumentasi aliran utama di Technet atau situs Microsoft lainnya, jadi semoga mendokumentasikan ini di sini dapat membantu beberapa orang.
Ekstrak yang relevan dari tautan yang disediakan:
Dari tautan MSDN:
"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"
Dari spesifikasi RDP PDF:
"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"
"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5: TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"
Oleh karena itu orang akan menyimpulkan bahwa Anda dapat menggunakan TLS 1.1 atau 1.2 pada Windows Server 2008 R2 sesuai dengan dokumentasi ini.
Namun pengujian kami telah membuktikan ini TIDAK berfungsi dari klien Windows 7 RDP (versi 6.3.9600) ketika TLS 1.0 dinonaktifkan dan opsi keamanan RDP diatur untuk memerlukan TLS 1.0.
Ini tentu saja serta mengaktifkan TLS 1.1 dan 1.2 yang dinonaktifkan secara default pada 2008R2 - kebetulan kami melakukan ini menggunakan Alat Crypto IIS yang sangat berguna dari Nartac Software .
Ketika melihat masalah ini, penting untuk mengaktifkan pendataan SChannel untuk melihat lebih detail tentang apa yang terjadi ketika sesi Anda dibuka.
Anda dapat mengatur SChannel logging dengan mengubah HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging kunci ke 5 dan me-reboot.
Setelah ini dilakukan, Anda dapat mengamati acara SChannel yang menunjukkan versi TLS digunakan ketika koneksi RDP dibuat. Setelah logging diaktifkan, Anda dapat mengamati kesalahan SChannel ketika klien RDP mencoba untuk membuat koneksi pada Windows 2008 R2 dengan TLS 1.0 dinonaktifkan:
A fatal error occurred while creating an SSL server credential. The internal error state is 10013.
Saya juga telah menguji menonaktifkan TLS 1.0 pada Windows Server 2012 dan 2012 R2 yang dapat saya konfirmasi berfungsi dengan baik menggunakan Windows 7 RDP Client. Entri log SChannel menunjukkan TLS 1.2 sedang digunakan:
An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.
Protocol: TLS 1.2
CipherSuite: 0xC028
Exchange strength: 256
Saya harap ini membantu seseorang yang mencari klarifikasi tentang ini.
Saya akan terus mencari bagaimana kita bisa membuat RDP bekerja pada TLS 1.1 dan TLS 1.2 di Windows Server 2008 R2.
UPDATE: 2015-AUG-05
Kami mengangkat masalah RDP yang tidak bekerja dengan Server 2008 R2 dengan dukungan Microsoft termasuk langkah-langkah untuk mereproduksi.
Setelah beberapa minggu mundur dan maju, kami akhirnya menerima panggilan telepon hari ini dari tim dukungan untuk mengetahui bahwa mereka memang dapat mereproduksi dan ini sekarang dikategorikan sebagai bug. Patch pembaruan akan dirilis, saat ini diharapkan pada Oktober 2015. Begitu saya memiliki artikel KB atau detail lainnya, saya akan menambahkannya ke posting ini.
Semoga mereka yang terjebak dengan Windows Server 2008 R2 setidaknya bisa menyelesaikan masalah ini sebelum batas waktu Juni 2016 setelah tambalan dirilis.
PEMBARUAN: 19 September 2015
Microsoft akhirnya merilis artikel dukungan kb tentang ini di sini dan saya dapat mengonfirmasi bahwa itu berfungsi OK.