サーバー2012 R2でRemoteAppを中断せずにTLS 1.0を無効にする方法
このシナリオは類似のシナリオとは異なることに注意してください: RDPを壊さずにTLS 1.0を無効にするにはどうすればよいですか?
リンクされた質問は、RDPとTLS 1.0の無効化についてです。
この質問はRemoteAppとTLS 1.0の無効化についてです
私はすでに、TLS 3で動作するポート3389上のストレートRDPを持っています。
RemoteAppをホストする2012R2サーバーがあります。
このサーバーには、RDゲートウェイ、RD Webアクセス、RD接続ブローカー、RDセッションホストの役割がインストールされています。
RemoteAppは、https経由でRDゲートウェイを介して提供されます。開いている唯一のパブリックポートは443です。
すべてのRDロールとIISにインストールされているパブリックCA提供のワイルドカードSSL証明書があるため、すべてが信頼されたルート証明書までさかのぼります。
証明書はTLS 1.2をサポートしています。RDWebWebサイトを表示すると、Webブラウザーにこれが表示されます。
セキュリティを強化するために、このサーバーでTLS 1.0を無効にすることに同意しています。 IISCrypto 2.0を使用してTLS 1.0を無効にしています
TLS 1.0を無効にすると、2つのことが観察されます。
1. RemoteAppが機能しなくなります。エンドユーザーのマシンから起動することはできません。
2.Straight RDP接続は問題なく機能します。
TLS 1.0を再度有効にすると、RemoteAppが再び機能します。
SChannelのログ記録では、RemoteAppがTLS 1.2を使用していることが確認されているため、TLS 1.0が無効になっている場合でもRemoteAppは引き続き機能するはずです。しかし、それは私が観察していることではありません。
すべてのクライアントは、完全に更新またはパッチされたバージョンのWindows 8.1および10を使用しています。
ほぼ1年後、RDPとリモートデスクトップサービスの接続を中断することなく、TLS 1.0/1.1を無効にするための実用的なソリューションをようやく見つけました。
IISCryptoを実行し、TLS 1.0、TLS 1.1、およびすべての不正な暗号を無効にします。
ゲートウェイの役割を実行しているリモートデスクトップサービスサーバーで、ローカルセキュリティポリシーを開き、[セキュリティオプション-システム暗号化]に移動します。暗号化、ハッシュ、署名にFIPS準拠アルゴリズムを使用します。セキュリティ設定を変更します変更を有効にするために再起動します。
場合によっては(特にServer 2012 R2で自己署名証明書を使用する場合)、セキュリティポリシーオプションの[ネットワークセキュリティ:LAN Manager認証レベル]を[NTLMv2応答のみを送信する]に設定する必要がある場合があります。
これで問題が解決するかどうかお知らせください。
システム暗号化:暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します。
これにより、古いプロトコルが再びひそかに有効になります。マイクロソフトはこの設定の使用を推奨していません。
私もこれと戦っています。まだ適切な解決策が見つかりません。