배경 :이 작업을 수행하는 방법에 대한 유일한 정보는 Windows 2008의 RDP와 관련이 있으며 관리 도구에는 "원격 데스크톱 세션 호스트 구성"이있는 것 같습니다. 이것은 Windows 2012에는 존재하지 않으며 MMC를 통해 추가하는 방법도 있습니다. 2008 년 RDS Host Config를 사용하여 여기 를 읽었 습니다.
질문 : Windows 2012에서 어떻게 TLS 1.0을 해제 할 수 있지만 여전히 Windows 2012 서버로 RDP를 사용할 수 있습니까?
원래, 내 이해는 Win2012 RDP에서만 TLS 1.0 만 지원되었다는 것 입니다. 그러나 PCI에 따른 TLS 1.0은 더 이상 허용되지 않습니다. 이 기사 에 따르면 Windows Server 2008r2에서 수정되었다고 가정합니다 . 그러나 이것은 관리 GUI 장치가 없어도 RDP가 내가 알고있는 프로토콜을 변경하기 위해 Server GUI를 다루지 않습니다.
답변:
TLS 비활성화는 시스템 전체 레지스트리 설정입니다.
https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10
Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
Value: Enabled
Value type: REG_DWORD
Value Data: 0
또한 초기 TLS를 비활성화하기위한 PCI 요구 사항은 2016 년 6 월 30 일까지 적용되지 않습니다.
Internet Explorer는 TLS / SSL 암호화 설정을위한 별도의 구성 옵션이있는 제품 중 하나입니다. 다른 사람이있을 수 있습니다.
TLS 1.0이 비활성화 된 Windows 2012 R2 서버가 있으며 원격 데스크톱을 사용할 수 있습니다.
궁금한 점이 있으면 다음은 KB3080079가 설치된 Windows 2008 R2 서버에서 tsconfig.msc의 스크린 샷입니다. 업데이트가 수행 한 유일한 것은 다른 두 TLS 암호화 수준에 대한 지원을 추가하여 TLS 1.0이 비활성화 되어도 계속 작동하기 때문에 구성 할 것이 없습니다.
거의 1 년 후, 마침내 RDP 및 원격 데스크톱 서비스 연결을 끊지 않고 TLS 1.0 / 1.1을 비활성화하는 효과적인 솔루션을 찾아 냈습니다.
IISCrypto를 실행하고 TLS 1.0, TLS 1.1 및 모든 잘못된 암호를 비활성화하십시오.
게이트웨이 역할을 실행하는 원격 데스크톱 서비스 서버에서 로컬 보안 정책을 열고 보안 옵션-시스템 암호화 : 암호화, 해싱 및 서명에 FIPS 호환 알고리즘 사용으로 이동하십시오. 보안 설정을 사용으로 변경하십시오. 변경 사항을 적용하려면 재부팅하십시오.
경우에 따라 (특히 Server 2012 R2에서 자체 서명 된 인증서를 사용하는 경우) 보안 정책 옵션 네트워크 보안 : LAN 관리자 인증 수준을 NTLMv2 응답 만 보내도록 설정해야 할 수도 있습니다.
이것이 당신에게도 효과가 있는지 알려주세요.
ver명령 의 출력은 무엇입니까 ?