如何在不破壞伺服器 2012 R2 上的 RemoteApps 的情況下禁用 TLS 1.0
請注意,這種情況與類似情況不同: 如何在不破壞 RDP 的情況下禁用 TLS 1.0?
連結的問題是關於 RDP 和禁用 TLS 1.0。
這個問題是關於 RemoteApp 和禁用 TLS 1.0
我已經在埠 3389 上使用 TLS 1.2 直接 RDP。
我們有一個託管 RemoteApp 的 2012R2 伺服器。
我們在此伺服器上安裝了 RD 網關、RD Web 訪問、RD 連接代理、RD 會話主機角色。
RemoteApp 通過 RD 網關通過 https 提供服務。我們唯一開放的公共埠是 443。
我們在所有 RD 角色和 IIS 中安裝了公共 CA 提供的萬用字元 SSL 證書,因此所有內容都可以追溯到受信任的根證書。
該證書支持 TLS 1.2,當我查看 RDWeb 網站時,我在網路瀏覽器中看到了這一點。
我們將在此伺服器上禁用 TLS 1.0 以加強安全性。我們正在使用 IISCrypto 2.0 禁用 TLS 1.0
當我們禁用 TLS 1.0 時,會觀察到兩件事:
1.RemoteApp停止工作。它們不能從最終使用者機器上啟動。
2.直 RDP 連接工作得很好。
當我們重新啟用 TLS 1.0 時,RemoteApp 再次工作。
SChannel 日誌記錄確認 RemoteApps 正在使用 TLS 1.2,因此我希望 RemoteApps 在禁用 TLS 1.0 時繼續工作。然而,這不是我所觀察到的。
所有客戶端都使用完全更新/修補的 Windows 8.1 和 10 版本。
將近一年後,我終於找到了一個可行的解決方案,可以在不破壞 RDP 和遠端桌面服務連接的情況下禁用 TLS 1.0/1.1。
執行 IISCrypto 並禁用 TLS 1.0、TLS 1.1 和所有錯誤密碼。
在執行網關角色的遠端桌面服務伺服器上,打開本地安全策略並導航到安全選項 - 系統加密:使用符合 FIPS 的算法進行加密、散列和簽名。將安全設置更改為已啟用。重新啟動以使更改生效。
請注意,在某些情況下(特別是如果在 Server 2012 R2 上使用自簽名證書),可能需要將安全策略選項網路安全:LAN Manager 身份驗證級別設置為僅發送 NTLMv2 響應。
讓我知道這是否也適合您。