Cara menonaktifkan TLS 1.0 di Windows 2012 RDP

Latar Belakang: Satu-satunya hal yang dapat saya temukan tentang cara melakukan ini terkait dengan RDP pada windows 2008, yang tampaknya memiliki sesuatu yang disebut "Konfigurasi Host Sesi Remote Desktop" di Alat Administratif. Ini TIDAK ada di windows 2012 dan sekarang tampaknya ada cara untuk menambahkannya melalui MMC. Saya baca di sini untuk 2008, menggunakan RDS Host Config, Anda bisa mematikannya.

Pertanyaan: Jadi, di windows 2012, bagaimana Anda bisa mematikan TLS 1.0, tetapi masih bisa RDP menjadi server Windows 2012?

Awalnya, pemahaman saya adalah bahwa HANYA TLS 1.0 didukung di Win2012 RDP . Namun, TLS 1.0 menurut PCI tidak lagi diizinkan. Ini seharusnya diperbaiki untuk server Windows 2008r2 menurut artikel ini . Namun, ini tidak membahas Server 2012 yang bahkan tidak memiliki peralatan gui administrasi untuk membuat perubahan pada protokol yang akan digunakan RDP yang saya tahu.

Menonaktifkan TLS adalah pengaturan registri di seluruh sistem:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Selain itu, persyaratan PCI untuk menonaktifkan TLS awal tidak berlaku hingga 30 Juni 2016.

Internet Explorer adalah salah satu produk yang saya tahu memiliki opsi konfigurasi terpisah untuk pengaturan enkripsi TLS / SSL. Mungkin ada yang lain.

Saya memiliki server Windows 2012 R2 dengan TLS 1.0 dinonaktifkan dan saya dapat melakukan remote desktop untuk itu.

Jika Anda bertanya-tanya, di bawah ini adalah screenshot dari tsconfig.msc pada server Windows 2008 R2 yang memiliki KB3080079 diinstal. Tidak ada yang perlu dikonfigurasikan karena satu-satunya pembaruan yang dilakukan adalah menambahkan dukungan untuk dua level enkripsi TLS lainnya sehingga ketika TLS 1.0 dinonaktifkan, ia terus berfungsi.

Jika Anda menonaktifkan TLS 1.0 dan ingin RDP tetap berfungsi, maka menggunakan Editor Kebijakan Grup lokal Anda harus memilih Lapisan Keamanan "Negosiasi" untuk RDP dalam "Konfigurasi Komputer \ Template Administratif \ Windows \ Komponen \ Layanan Desktop Jauh \ Host Sesi Desktop Jarak Jauh" \ Keamanan "" Memerlukan penggunaan lapisan keamanan khusus untuk koneksi jarak jauh (RDP). " dan juga pilih "Diaktifkan". Ini juga berfungsi di 2012R2.

Setelah hampir setahun, saya akhirnya menemukan solusi untuk menonaktifkan TLS 1.0 / 1.1 tanpa memutus konektivitas RDP dan Remote Desktop Services.

Jalankan IISCrypto dan nonaktifkan TLS 1.0, TLS 1.1 dan semua cipher yang buruk.

Pada server Layanan Desktop Jarak Jauh yang menjalankan peran gateway, buka Kebijakan Keamanan Lokal dan navigasikan ke Opsi Keamanan - Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk enkripsi, hashing, dan penandatanganan. Ubah pengaturan keamanan ke Diaktifkan. Mulai ulang agar perubahan diterapkan.

Perhatikan bahwa dalam beberapa kasus (terutama jika menggunakan sertifikat yang ditandatangani sendiri pada Server 2012 R2), opsi Kebijakan Keamanan Keamanan Jaringan: Tingkat otentikasi manajer LAN mungkin perlu diatur untuk mengirim respons NTLMv2 saja.

Beri tahu saya jika ini juga cocok untuk Anda.