背景:これを行う方法で見つけることができる唯一のことは、Windows 2008のRDPに関連しています。これには、管理ツールに「リモートデスクトップセッションホスト構成」と呼ばれるものがあるようです。これはWindows 2012には存在せず、MMC経由で追加する方法があるようです。RDS Host Configを使用して、2008年のここを読みました。
質問: それでは、Windows 2012では、TLS 1.0をオフにしながら、RDPをWindows 2012サーバーにするにはどうすればよいでしょうか?
当初、私の理解では、Win2012 RDPではTLS 1.0のみがサポートされていました。ただし、PCIによるTLS 1.0は許可されなくなりました。この記事によると、これはWindowsサーバー2008r2で修正されたと思われます。ただし、これは、私が知っているRDPが使用するプロトコルに変更を加えるための管理GUI装置さえ持たないServer 2012には対応していません。
回答:
TLSを無効にすることは、システム全体のレジストリ設定です。
https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10
Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
Value: Enabled
Value type: REG_DWORD
Value Data: 0
また、早期TLSを無効にするためのPCI要件は、2016年6月30日まで有効になりません。
Internet Explorerは、TLS / SSL暗号化設定用の個別の構成オプションを持つ、私が知っている1つの製品です。他にもあるかもしれません。
TLS 1.0を無効にしたWindows 2012 R2サーバーがあり、リモートデスクトップを使用できます。
ご参考までに、KB3080079がインストールされているWindows 2008 R2サーバー上のtsconfig.mscのスクリーンショットを次に示します。更新が行ったのは他の2つのTLS暗号化レベルのサポートを追加することだけであり、TLS 1.0が無効になっても機能し続けるため、構成するものはありません。
TLS 1.0を無効にし、RDPが機能し続けるようにするには、ローカルグループポリシーエディターを使用して、「コンピューターの構成\管理用テンプレート\ Windows \コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト」でRDPの「ネゴシエート」セキュリティレイヤーを選択する必要があります\ Security ""リモート(RDP)接続には特定のセキュリティレイヤーの使用が必要です。 " また、「有効」を選択します。これは2012R2でも機能します。
ほぼ1年後、RDPとリモートデスクトップサービスの接続性を損なうことなくTLS 1.0 / 1.1を無効にするための実用的なソリューションをようやく見つけました。
IISCryptoを実行し、TLS 1.0、TLS 1.1、およびすべての不正な暗号を無効にします。
ゲートウェイロールを実行しているリモートデスクトップサービスサーバーで、ローカルセキュリティポリシーを開き、セキュリティオプション-システム暗号化:暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用します。セキュリティ設定を有効に変更します。変更を有効にするために再起動します。
場合によっては(特にServer 2012 R2で自己署名証明書を使用する場合)、[セキュリティポリシー]オプションの[ネットワークセキュリティ:LAN Manager認証レベル]を[NTLMv2応答のみ送信]に設定する必要がある場合があります。
これがあなたにも役立つかどうか教えてください。
verコマンドの出力は何ですか?