Windows 2012 RDPでTLS 1.0を無効にする方法
背景:これを行う方法について私が見つけることができる唯一のことは、管理ツールで「リモートデスクトップセッションホストの構成」と呼ばれるものがあるように見えるWindows 2008のRDPに関連しています。これはWindows 2012には存在せず、MMCを介しても追加できるようになりました。2008年のRDS Host Configを使用して here を読みます)あなたはそれをオフにすることができます。
質問:つまり、Windows 2012でTLS 1.0をオフにして、それでもWindows 2012サーバーにRDPできるようにするにはどうすればよいですか
もともと、私の理解は Win2012 RDPでサポートされているのはTLS 1.0のみ です。ただし、PCIに基づくTLS 1.0は許可されなくなりました。 この記事 によると、これはWindowsサーバー2008r2で修正されているはずです。ただし、これは、RDPが使用するプロトコルを変更するための管理GUI装置さえ備えていないServer 2012には対応していません。
TLSの無効化は、システム全体のレジストリ設定です。
https://technet.Microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS1
Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
Value: Enabled
Value type: REG_DWORD
Value Data: 0
また、早期TLSを無効にするためのPCI要件は、2016年6月30日まで有効になりません。
Internet Explorerは、私が知っている製品の1つで、TLS/SSL暗号化設定用の個別の構成オプションがあります。他にもあるかもしれません。
TLS 1.0を無効にしたWindows 2012 R2サーバーがあり、リモートデスクトップを使用できます。
ご参考までに、KB3080079がインストールされているWindows 2008 R2サーバー上のtsconfig.mscのスクリーンショットを以下に示します。更新が行ったのは他の2つのTLS暗号化レベルのサポートを追加することだけだったので、構成するものは何もありません。
TLS 1.0を無効にしてRDPを機能させたい場合は、ローカルグループポリシーエディターを使用して、「コンピューターの構成\管理用テンプレート\ Windows \コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト」でRDPの「ネゴシエート」セキュリティレイヤーを選択する必要があります。\Security ""リモート(RDP)接続には特定のセキュリティレイヤーの使用が必要です。 "また、「有効」を選択します。これは2012R2でも機能します。
ほぼ1年後、ようやく、RDPとリモートデスクトップサービスの接続を切断せずにTLS 1.0/1.1を無効にするための実用的なソリューションを見つけました。
IISCryptoを実行し、TLS 1.0、TLS 1.1、およびすべての不正な暗号を無効にします。
ゲートウェイの役割を実行しているリモートデスクトップサービスサーバーで、ローカルセキュリティポリシーを開き、[セキュリティオプション-システム暗号化]に移動します。暗号化、ハッシュ、署名にFIPS準拠アルゴリズムを使用します。セキュリティ設定を変更します変更を有効にするために再起動します。
場合によっては(特にServer 2012 R2で自己署名証明書を使用する場合)、セキュリティポリシーオプションの[ネットワークセキュリティ:LAN Manager認証レベル]を[NTLMv2応答のみを送信する]に設定する必要がある場合があります。
これで問題が解決するかどうかお知らせください。