Windows

如何在 Windows 2012 RDP 中禁用 TLS 1.0

  • April 5, 2017

背景:我唯一能找到的關於如何執行此操作的內容與 Windows 2008 上的 RDP 相關,它似乎在管理工具中有名為“遠端桌面會話主機配置”的內容。這在 Windows 2012 中不存在,現在似乎也可以通過 MMC 添加它。我在這裡閱讀了 2008 年,使用 RDS 主機配置,您可以將其關閉。

問題: 那麼,在 Windows 2012 中,如何關閉 TLS 1.0,但仍然能夠將 RDP 導入 Windows 2012 伺服器?

最初,我的理解是Win2012 RDP 僅支持 TLS 1.0。但是,不再允許根據 PCI 的 TLS 1.0。根據本文,這應該為 Windows server 2008r2 修復。但是,這並沒有解決 Server 2012,它甚至沒有管理 gui 設備來更改我知道的 RDP 將使用的協議。

禁用 TLS 是系統範圍的系統資料庫設置:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

此外,禁用早期 TLS 的 PCI 要求直到 2016 年 6 月 30 日才生效。


Internet Explorer 是我所知道的一種產品,它具有用於 TLS/SSL 加密設置的單獨配置選項。可能還有其他人。

我有一個禁用 TLS 1.0 的 Windows 2012 R2 伺服器,我可以遠端桌面到它。

如果您想知道,下面是安裝了 KB3080079 的 Windows 2008 R2 伺服器上 tsconfig.msc 的螢幕截圖。無需配置,因為更新所做的唯一事情是添加對其他兩個 TLS 加密級別的支持,以便在禁用 TLS 1.0 時它繼續工作。

在此處輸入圖像描述

引用自:https://serverfault.com/questions/733994