Как отключить TLS 1.0, не нарушая работу RemoteApps на сервере 2012 R2
Обратите внимание, этот сценарий отличается от аналогичного: Как отключить TLS 1.0, не нарушая RDP?
Связанный вопрос касается RDP и отключения TLS 1.0.
Этот вопрос касается RemoteApp и отключения TLS 1.0
У меня уже есть прямой RDP через порт 3389 работает с TLS 1.2.
У нас есть сервер 2012R2, на котором размещены приложения RemoteApp.
У нас есть шлюз удаленных рабочих столов, веб-доступ к удаленным рабочим столам, посредник подключений к удаленным рабочим столам, роли узла сеансов удаленных рабочих столов, установленные на этом сервере.
Удаленные приложения обслуживаются через Шлюз удаленных рабочих столов через https. Единственный открытый порт, который у нас открыт, - 443.
У нас есть предоставленный общедоступным CA сертификат SSL с подстановочными знаками, установленный во всех ролях удаленных рабочих столов и в IIS, поэтому все идет от доверенного корневого сертификата.
Сертификат поддерживает TLS 1.2. , Я вижу это в веб-браузере, когда просматриваю веб-сайт RDWeb.
Мы пытаемся отключить TLS 1.0 на этом сервере, чтобы повысить безопасность. Мы используем IISCrypto 2.0 для отключения TLS 1.0
Когда мы отключаем TLS 1.0, наблюдаются две вещи:
1. RemoteApp перестает работать. Они не могут быть запущены с машины конечного пользователя.
2. Прямые подключения RDP работают нормально.
Когда мы снова включаем TLS 1.0, RemoteApp снова работает.
Ведение журнала SChannel подтверждает, что RemoteApps используют TLS 1.2, поэтому я ожидаю, что RemoteApps продолжат работать, когда TLS 1.0 отключен. Однако я наблюдаю не это.
Все клиенты используют полностью обновленные / исправленные версии Windows 8.1 и 10.
Спустя почти год я наконец нашел рабочее решение для отключения TLS 1.0 / 1.1 без нарушения связи RDP и служб удаленных рабочих столов.
Запустите IISCrypto и отключите TLS 1.0, TLS 1.1 и все плохие шифры.
На сервере служб удаленных рабочих столов, на котором выполняется роль шлюза, откройте локальную политику безопасности и перейдите в Параметры безопасности - Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписи. Измените настройку безопасности на Включено. Перезагрузитесь, чтобы изменения вступили в силу.
Обратите внимание, что в некоторых случаях (особенно при использовании самозаверяющих сертификатов на Server 2012 R2) параметр политики безопасности Сетевая безопасность: уровень проверки подлинности LAN Manager может быть установлен на Отправлять только ответы NTLMv2 .
Сообщите мне, работает ли это и для вас.
Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписи.
Это снова тайно повторно активирует старые протоколы. Microsoft даже не рекомендует больше использовать эту настройку.
Я тоже боролся с этим. Я еще не нашел подходящего решения.
Старая публикация, но я только что случайно прочитал статью, в которой говорится, что если вы используете внутренний сервер SQL (WID) для базы данных брокера соединений, брокеру соединений нужен TLS 1.0, включенный для связи с WID. Это можно обойти, используя «настоящую» базу данных SQL Server для брокера соединений вместо внутреннего WID SQL.