如何在Windows 2012 RDP中禁用TLS 1.0

禁用TLS是一个系统范围的registry设置：

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

 Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server Value: Enabled Value type: REG_DWORD Value Data: 0 

此外，禁用早期TLS的PCI要求要到2016年6月30日才会生效。

Internet Explorer是我知道的一个产品，它具有用于TLS / SSLencryption设置的单独configuration选项。 可能有其他的。

我有一个TLS 1.0禁用的Windows 2012 R2服务器，我可以远程桌面到它。

如果您想知道，下面是已安装KB3080079的Windows 2008 R2服务器上的tsconfig.msc屏幕截图。 没有什么可configuration的，因为更新所做的唯一的事情就是添加了对其他两个TLSencryption级别的支持，所以当TLS 1.0被禁用时，它将继续工作。

如果禁用TLS 1.0并希望RDP继续工作，则使用本地组策略编辑器必须在“计算机configuration\pipe理模板\ Windows \组件\远程桌面服务\远程桌面会话主机”中为RDPselect“协商”安全层\安全性“”要求为远程（RDP）连接使用特定的安全层。“ 并select“启用”。 这也适用于2012R2。

经过近一年的时间，我终于find了一个工作解决scheme来禁用TLS 1.0 / 1.1而不会破坏RDP和远程桌面服务连接。

运行IISCrypto并禁用TLS 1.0，TLS 1.1和所有不好的密码。

在运行网关angular色的远程桌面服务服务器上，打开本地安全策略并导航到安全选项 – 系统encryption：使用符合FIPS的algorithm进行encryption，散列和签名。 将安全设置更改为已启用。 重新启动以使更改生效。

请注意，在某些情况下（特别是在Server 2012 R2上使用自签名证书时），可能需要将安全策略选项Network Security：LAN Manager身份validation级别设置为仅发送NTLMv2响应。

让我知道这是否也适合你。

我有同样的问题，当我在registry中禁用TLSv1.0 Windows 2012 RDS停止工作，直到我重新启用FIPS，但是当它启用FIPS时，TLSv1.0重新出现。

我已经尝试了我在互联网上find的所有东西。 我认为不可能在Windows 2012中禁用TLSv1.0，而不会对服务产生负面影响。