Como desativar o TLS 1.0 no Windows 2012 RDP

Antecedentes: A única coisa que posso encontrar sobre como fazer isso está relacionada ao RDP no Windows 2008, que parece ter algo chamado "Configuração do Host da Sessão da Área de Trabalho Remota" nas Ferramentas Administrativas. Isso NÃO existe no Windows 2012 e parece haver agora uma maneira de adicioná-lo também através de um MMC. Eu li aqui para 2008, usando o RDS Host Config, você pode simplesmente fazer isso.

Pergunta: Então, no Windows 2012, como você pode desativar o TLS 1.0, mas ainda conseguir fazer o RDP em um servidor Windows 2012?

Originalmente, meu entendimento é que APENAS o TLS 1.0 era suportado no Win2012 RDP . No entanto, o TLS 1.0 de acordo com o PCI não é mais permitido. Isso foi corrigido para o servidor Windows 2008r2, de acordo com este artigo . No entanto, isso não aborda o Server 2012 que nem sequer possui um dispositivo de interface administrativa para fazer alterações nos protocolos que o RDP usará que eu conheço.

Desabilitar o TLS é uma configuração de registro em todo o sistema:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Além disso, o requisito do PCI para desativar o TLS antecipado não entra em vigor até 30 de junho de 2016.

O Internet Explorer é um produto que conheço que possui uma opção de configuração separada para as configurações de criptografia TLS / SSL. Pode haver outros.

Eu tenho um servidor Windows 2012 R2 com o TLS 1.0 desativado e posso usar a área de trabalho remota.

Se você está se perguntando, abaixo está uma captura de tela do tsconfig.msc em um servidor Windows 2008 R2 com o KB3080079 instalado. Não há nada para configurar porque a única coisa que a atualização fez foi adicionar suporte aos outros dois níveis de criptografia TLS, para que, quando o TLS 1.0 for desativado, ele continue funcionando.

Se você desabilitar o TLS 1.0 e desejar que o RDP continue funcionando, usando o Editor de Diretiva de Grupo local, selecione a Camada de Segurança "Negociar" para o RDP em "Configuração do Computador \ Modelos Administrativos \ Windows \ Componentes \ Serviços de Área de Trabalho Remota \ Host de Sessão da Área de Trabalho Remota \ Security "" Requer o uso de uma camada de segurança específica para conexões remotas (RDP). " e também selecione "Ativado". Isso também funciona em 2012R2.

Depois de quase um ano, finalmente descobri uma solução funcional para desativar o TLS 1.0 / 1.1 sem interromper a conectividade RDP e Serviços de Área de Trabalho Remota.

Execute o IISCrypto e desative o TLS 1.0, TLS 1.1 e todas as cifras incorretas.

No servidor dos Serviços de Área de Trabalho Remota executando a função de gateway, abra a Diretiva de Segurança Local e navegue até Opções de Segurança - Criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hash e assinatura. Altere a configuração de segurança para Ativado. Reinicie para que as alterações entrem em vigor.

Observe que, em alguns casos (especialmente se estiver usando certificados autoassinados no Server 2012 R2), a opção Política de segurança Segurança da rede: nível de autenticação do LAN Manager pode precisar ser configurada para Enviar apenas respostas NTLMv2.

Deixe-me saber se isso funciona para você também.