脆弱性スキャン(このマシンではRDPが有効になっています)からの問題を処理するために、Windows 10マシン(NartecのIIS Cryptoを使用したTLS暗号)を強化しました。この問題はなくなりましたが、このコンピューターからのRDPはほとんどのコンピューターで失敗します(一部の2008 R2および2012 R2サーバーを含む一部のコンピューターはまだ動作しています)。
クライアントでは、RDPは「内部エラーが発生しました」とイベントログに次のように表示します。
TLSクライアント資格情報の作成中に致命的なエラーが発生しました。内部エラー状態は10013です。
いずれかのサーバーのサーバーイベントログを確認すると、次の2つのメッセージが表示されます。
リモートクライアントアプリケーションからTLS 1.2接続要求を受信しましたが、クライアントアプリケーションでサポートされている暗号スイートはいずれもサーバーでサポートされていません。SSL接続要求が失敗しました。
次の致命的なアラートが生成されました:40。内部エラー状態は1205です。
ただし、両方のコンピューターで有効になっているプロトコルと暗号スイートは同一です。
クライアント(Windows 10)
サーバー(2008 R2)
ここに私の質問があります:RDPが(Windows 7以上を実行しているRDPホストに)動作するために、Sweet32などのTLS脆弱性を追加せずに、Windows 10マシンで有効にする必要がある暗号は何ですか?
これはおそらくSuperUser.comにより適しています-この時点では実際にはセキュリティ関連の問題ではありません。
—
ハッシュハザード
あなたの質問は、セキュリティよりもシステムの構成により密接に関連しています。バルンスキャンの検出結果について質問がある場合は、こちらがより適切です。この質問は、壊れたRDP接続のトラブルシューティングに関するものです。理にかなっていますか?
—
ハッシュハザード
@Hollowproc RDPホストの失敗した脆弱性スキャン(TLSの問題、Sweet32)を処理しようとしています。「ベストプラクティス」暗号スイートを適用すると、RDPは機能しなくなります。私は、RDPの暗号化のニーズに精通していません。この問題はセキュリティとサーバー構成の橋渡しをしますが、確かにセキュリティに関連しています。ところで、昨日、ServerFaultにこの質問を投稿し、有用な応答を受け取っていませんでした。だから、このサイトに目を向けたのです(ここで誰かが助けやポインタを提供する知識を持っていることを望みます)。
@Hollowproc:FYI、私はいくつかの新しい情報を持っているとServerFaultの上に新しいポストを作成している(と、元の1を削除):serverfault.com/questions/813271/...