Как я отключаю TLS 1.0, не повреждая RDP?
Наш процессор кредитной карты недавно уведомил нас, что с 30 июня 2016 мы должны будем отключить TLS 1.0, чтобы остаться совместимым PCI. Я пытался быть превентивным путем отключения TLS 1.0 на нашей машине Windows Server 2008 R2, только найти, что сразу после перезагрузки я абсолютно не мог соединиться с ним с помощью Протокола удаленного рабочего стола (RDP). После некоторого исследования кажется, что RDP только поддерживает TLS 1.0 (см. здесь или здесь), или по крайней мере не ясно, как включить RDP по TLS 1.1 или TLS 1.2. Кто-либо знает способ отключить TLS 1.0 на Windows Server 2008 R2, не повреждая RDP? Microsoft планирует поддержку RDP по TLS 1.1 или TLS 1.2?
Примечание: Кажется, существует способ сделать это путем конфигурирования сервера для использования Уровня безопасности RDP, но это отключает Аутентификацию Сетевого уровня, которая походит на торговлю одним злом для другого.
ОБНОВЛЕНИЕ 1: Microsoft теперь решила эту проблему. См. ответ ниже для соответствующего обновления сервера.
ОБНОВЛЕНИЕ 2: Microsoft выпустила учебное руководство относительно поддержки SQL Server для PCI DSS 3.1.
ນີ້ບໍ່ແມ່ນ ຄຳ ຕອບຂອງ ຄຳ ຖາມ, ແຕ່ຕໍ່ ຄຳ ຖາມຍ່ອຍ "ຂ້ອຍຈະຟື້ນຟູການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກກັບເຄື່ອງ virtual ບ່ອນທີ່ຂ້ອຍໄດ້ປິດການໃຊ້ງານ TLS 1.0 ແລະ ໂດຍບໍ່ມີການເຂົ້າເຖິງທາງຮ່າງກາຍບໍ? ".
ຂ້ອຍໄດ້ປິດໃຊ້ TLS 1.0 ໂດຍໃຊ້ IISCrypto, ເຊິ່ງໄດ້ໃຫ້ ຄຳ ເຕືອນທີ່ເປັນປະໂຫຍດກ່ຽວກັບຜົນຂ້າງຄຽງທີ່ວ່າ RDP ຈະຢຸດເຮັດວຽກຖ້າມັນຖືກຕັ້ງໃສ່ TLS. ສະນັ້ນຂ້າພະເຈົ້າໄດ້ເຊັກອິນ:
Admin Tools\Remote Desktop Services\Remote Desktop Session Host Configuration, RDP-Tcp, General Tab, Security Layer
ແລະລະດັບຄວາມປອດໄພຂອງຂ້ອຍຖືກຕັ້ງເປັນ "ເຈລະຈາ". ຂ້ອຍສົມມຸດວ່າມັນ ໝາຍ ຄວາມວ່າຖ້າ TLS ບໍ່ມີ, ມັນອາດຈະເຮັດໃຫ້ RDP Security ເສີຍເມີຍ.
ແຕ່ບໍ່, ການເຈລະຈາບໍ່ໄດ້ເຮັດວຽກແບບນັ້ນ. ທ່ານຕ້ອງຕັ້ງລະດັບຄວາມປອດໄພໃຫ້ RDP Security, ບໍ່ແມ່ນການເຈລະຈາ, ກ່ອນທີ່ທ່ານຈະປິດການໃຊ້ງານ TLS 1.0.
ດັ່ງນັ້ນຂ້ອຍໄດ້ສູນເສຍຄວາມສາມາດໃນການເຊື່ອມຕໍ່ຫ່າງໄກສອກຫຼີກກັບຕົວຢ່າງ AWS ຂອງຂ້ອຍ!
- ຂ້ອຍໄດ້ອັບເດດ SecurityGroup ເພື່ອອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ໄຟວໍຈາກເຄື່ອງນັ້ນໄປຫາເຄື່ອງທີ່ "ຫາຍໄປ" ຂອງຂ້ອຍ.
- ຂ້ອຍໄດ້ເປີດສ່ວນແບ່ງເຄືອຂ່າຍບໍລິຫານຢູ່ DOS, ໂດຍມີຜູ້ໃຊ້ admin ແລະລະຫັດຜ່ານ:
ການ ນຳ ໃຊ້ສຸດທິ \\ lost_machine_ip \ c $
- ແລ້ວຂ້ອຍເປີດ Regedit, ແລະໃນ File menu ເລືອກ "ການເຊື່ອມຕໍ່ເຄືອຂ່າຍເຊື່ອມຕໍ່ທະບຽນ" ແລະ ໃສ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍ "ສູນເສຍ". ທ່ານຄວນເບິ່ງການລົງທະບຽນເຊີຟເວີຫ່າງໄກສອກຫຼີກ. ໄປທີ່:
\ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \
ແລະ ກຳ ນົດຄ່າ ສຳ ລັບ SecurityLayer ເຖິງ 0 (0 ແມ່ນ RDP Security).
ທ່ານ ຫຼັງຈາກນັ້ນຈະສາມາດເຊື່ອມຕໍ່ໄລຍະໄກ, ແລະເປີດຄືນ TLS 1.0 ໃນ IISCrypto ຖ້າ ຈຳ ເປັນ.
Используйте вместо этого IPsec, как описано в документе: "Сначала настройте сильно зашифрованный сеанс (например, IPsec туннель), а затем отправьте данные по SSL в защищенном туннеле"
Основной причиной для этого при настройке TLS для RDP является то, что политика брандмауэра легко проверяется на соответствие (по сравнению с проверкой множества изменений в реестре на соответствие), а IPsec довольно легко настроить в Windows.
Если вам случайно понадобится полный набор B соответствия IPSEC с tls 1.0 - это единственный доступный способ применить к соответствующей длине сертификата
.Вам потребуется установить RDP 8.0 на компьютеры с Windows 7 и серверы Windows Server 2008 R2, а затем включить RDP 8.0 в политике локального компьютера или групповой политике.
Вот база знаний Microsoft для RDP 8.0. https://support.microsoft.com/en-us/kb/2592687
Как только это будет сделано, вы сможете отключить TLS 1.0 на компьютерах и серверах, отредактировав реестр, как описано в этой технической статье. . https://technet.microsoft.com/en-us/library/dn786418.aspx
После установки RDP 8.0 вы также можете установить RDP 8.1, но перед установкой RDP 8.1 необходимо установить RDP 8.0. RDP 8.0 содержит компоненты протокола как на стороне клиента, так и на стороне сервера, но RDP 8.1 включает только клиента. База знаний Microsoft для RDP 8.1 - KB2830477.
Я внес эти изменения на одной из моих рабочих станций с Windows 7 и протестировал RDP-соединения с включенным и установленным параметром групповой политики «Требовать использования определенного уровня безопасности для удаленных (RDP) подключений». на «SSL (TLS 1.0)», чтобы гарантировать, что он не вернется к шифрованию RDP.
ОБНОВЛЕНИЕ 19.06.2015:
Наконец-то я получил возможность протестировать это на одном из наших серверов Windows Server 2008 R2 , и это определенно разрывает RDP-соединения с сервером. Похоже, что серверные компоненты RDP 8.0 устанавливаются только на компьютеры с Windows 7 и не устанавливаются на серверах Windows Server 2008 R2.
Я занимаюсь этим уже пару дней, так как мы должны соответствовать стандарту PCI-DSS 3.1, который требует отключения TLS 1.0.
Мы также не хотим этого делать. вернуться к уровню безопасности RDP, что является серьезной проблемой безопасности.
Наконец-то мне удалось найти документацию, подтверждающую, что протоколы TLS 1.1 и TLS 1.2 ПОДДЕРЖИВАЮТСЯ RDP. Эта документация скрыта в журнале SChannel и очень подробной спецификации для RDP .
На Technet или других сайтах Microsoft полностью отсутствует документация по основному потоку, поэтому мы надеемся, что документирование этого здесь может помочь некоторым людям.
Соответствующие выдержки из предоставленных ссылок:
Из ссылки MSDN:
"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"
Из спецификации RDP PDF:
"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"
"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5: TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"
Таким образом, можно сделать вывод, что вы можете использовать TLS 1.1 или 1.2 на Windows Server 2008 R2 в соответствии с этой документацией.
Однако наше тестирование доказало, что это НЕ работает с клиентом RDP Windows 7 (версия 6.3.9600), когда TLS 1.0 отключен и для параметра безопасности RDP задано требование TLS 1.0.
Это, конечно, так же как и включение TLS 1.1 и 1.2, которые по умолчанию отключены в 2008R2 - кстати, мы делаем это с помощью очень полезного IIS Crypto Tool от Nartac Software .
При рассмотрении этой проблемы полезно включить ведение журнала SChannel, чтобы видеть более подробную информацию о том, что происходит при открытии сеанса.
Вы можете установить ведение журнала SChannel , изменив HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ EventLogging на 5 и перезагрузка.
После этого вы можете наблюдать за событиями SChannel, которые показывают, какая версия TLS используется при установлении RDP-соединения. После включения ведения журнала вы можете наблюдать ошибку SChannel, когда клиент RDP пытается установить соединение в Windows 2008 R2 с отключенным TLS 1.0:
A fatal error occurred while creating an SSL server credential. The internal error state is 10013.
Я также тестировал отключение TLS 1.0 в Windows Server 2012 и 2012 R2, что могу подтвердить отлично работает с RDP-клиентом Windows 7. Запись в журнале SChannel показывает, что используется TLS 1.2:
An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.
Protocol: TLS 1.2
CipherSuite: 0xC028
Exchange strength: 256
Надеюсь, это поможет тем, кто ищет разъяснения по этому поводу.
Я продолжу искать, как мы можем заставить RDP работать поверх TLS 1.1 и TLS 1.2 в Windows Server 2008 R2.
ОБНОВЛЕНИЕ: 2015-АВГ-05
Мы подняли вопрос о том, что протокол RDP не работает с Server 2008 R2 с поддержкой Microsoft, включая шаги по воспроизведению.
После нескольких недель перемотки назад и вперед мы наконец получили сегодня телефонный звонок от службы поддержки, чтобы подтвердить, что они действительно могут воспроизвести это, и теперь это классифицируется как ошибка. Будет выпущено обновление, на данный момент это ожидается в октябре 2015 года. Как только у меня появится статья в базе знаний или другие подробности, я добавлю их в этот пост.
Надеюсь, те, кто застрял с Windows Server 2008 R2, смогут по адресу по крайней мере, решите эту проблему до крайнего срока в июне 2016 года после выпуска патча.
ОБНОВЛЕНИЕ: 19 сентября 2015 года
Microsoft наконец выпустила статью поддержки kb об этом здесь , и я могу подтвердить, что это работает нормально.
Просто обновление на этом, если кто-то еще ищет информацию об этом. Для моих 64-битных коробок Windows 7 мне пришлось установить KB2574819 (первый) и KB2592687 (второй) В Windows 7 должен быть установлен пакет SP1, прежде чем будут установлены эти 2 пакета. Если у вас возникли проблемы с установкой SP1, как у меня, мне пришлось сначала удалить KB958830, а затем установить SP1.
Для моих компьютеров с Windows Server 2008 R2 мне пришлось установить KB3080079. Как только вы это сделаете и настроите все необходимые настройки для безопасного обмена данными, он будет использовать TLS 1.2. Вы можете подтвердить, используя Wireshark, чтобы выполнить захват обмена данными между вашими двумя устройствами.
Я успешно использовал rdesktop (http://www.rdesktop.org) для Linux, чтобы обойти эту проблему.
Как опубликовано на Как отключить TLS 1.0 без нарушения работы RemoteApps на сервере 2012 R2 , но репост здесь для тех, кто может не отслеживать эту ссылку:
Спустя почти год я, наконец, нашел рабочее решение для отключения TLS 1.0 / 1.1 без нарушения подключения RDP и служб удаленных рабочих столов и запуска RemoteApps:
Запустите IISCrypto и отключите TLS 1.0, TLS 1.1 и все плохие шифровки.
На сервере служб удаленных рабочих столов, выполняющем роль шлюза, откройте локальную политику безопасности и перейдите к параметрам безопасности - Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписи. Измените настройку безопасности на Включено. Перезагрузитесь, чтобы изменения вступили в силу.
Обратите внимание, что в некоторых случаях (особенно при использовании самоподписанных сертификатов на Server 2012 R2) для параметра политики безопасности «Сетевая безопасность: уровень проверки подлинности LAN Manager» может потребоваться установить значение «Отправлять только ответы NTLMv2». .
Один случай, не охваченный существующими ответами: Клиенты Windows 7, подключающиеся через шлюз RDP, все равно будут использовать TLS 1.0 при подключении к шлюзу и не смогут его использовать, если шлюз не поддерживает TLS 1.0, даже после применения KB3080079, , как было замечено в этой теме форума TechNet.
Для использования TLS 1. 2 для подключения через шлюз RDP, убедитесь, что установлен KB3140245 и добавьте следующие ключи реестра (сохраните в файле с расширением .reg для импорта):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800
Как описано в KB3140245, это переопределит WINHTTP_OPTION_SECURE_PROTOCOLS для использования по умолчанию TLS 1.2 (и только TLS 1.2). Поэтому имейте в виду, что это повлияет не только на RDP клиента.
(Примечание: если обратная совместимость желательна, dword:00000800 можно изменить на dword:00000A00 или dword:00000A80, чтобы включить TLS 1.1 и 1.0 соответственно)