请注意,这种情况不同于类似的情况: 如何在不破坏RDP的情况下禁用TLS 1.0?
链接的问题是关于RDP和禁用TLS 1.0。
这个问题是关于RemoteApp的和禁用TLS 1.0
我已经通过端口3389与TLS 1.2一起使用了直连RDP。
我们有一个托pipeRemoteApp的2012R2服务器。
我们在此服务器上安装了RD网关,RD Web访问,RD连接代理,RD会话主机angular色。
RemoteApp通过https通过RD网关提供服务。 我们唯一开放的公共港口是443。
我们在所有RDangular色和IIS中都安装了一个公共CA提供的通配符SSL证书,因此所有内容都可追溯到受信任的根证书。
该证书支持TLS 1.2,当我查看RDWeb网站时,我在网页浏览器中看到了这一点。
我们正试图在此服务器上禁用TLS 1.0以加强安全性。 我们正在使用IISCrypto 2.0来禁用TLS 1.0
当我们禁用TLS 1.0时,观察到两件事情:
1. RemoteApp停止工作。 它们不能从最终用户机器启动。
2.直接RDP连接工作得很好。
当我们重新启用TLS 1.0时,RemoteApp再次工作。
SChannel日志logging确认RemoteApps正在使用TLS 1.2,所以我期望RemoteApps在禁用TLS 1.0时继续工作。 但是,这不是我所观察到的。
所有客户都使用完全更新/修补的Windows 8.1和10版本。
经过近一年的时间,我终于find了一个工作解决scheme来禁用TLS 1.0 / 1.1而不会破坏RDP和远程桌面服务连接。
运行IISCrypto并禁用TLS 1.0,TLS 1.1和所有不好的密码。
在运行网关angular色的远程桌面服务服务器上,打开本地安全策略并导航到安全选项 – 系统encryption:使用符合FIPS的algorithm进行encryption,散列和签名。 将安全设置更改为已启用。 重新启动以使更改生效。
请注意,在某些情况下(特别是在Server 2012 R2上使用自签名证书时),可能需要将安全策略选项Network Security:LAN Manager身份validation级别设置为仅发送NTLMv2响应。
让我知道这是否也适合你。