このシナリオは、類似のシナリオとは異なることに注意してください。 RDP を壊さずに TLS 1.0 を無効にするにはどうすればいいですか?
リンクされた質問は、RDP と TLS 1.0 の無効化に関するものです。
この質問はRemoteAppとTLS 1.0の無効化に関するものです
すでに TLS 1.2 で動作するポート 3389 経由の直接 RDP があります。
当社には RemoteApp をホストする 2012R2 サーバーがあります。
このサーバーには、RD ゲートウェイ、RD Web アクセス、RD 接続ブローカー、RD セッション ホストの役割がインストールされています。
RemoteApp は https 経由の RD ゲートウェイを通じて提供されます。開いているパブリック ポートは 443 のみです。
すべての RD ロールと IIS にパブリック CA 提供のワイルドカード SSL 証明書がインストールされているため、すべてが信頼されたルート証明書にまで遡ります。
証明書は TLS 1.2 をサポートしており、RDWeb Web サイトを表示すると Web ブラウザーでこれが表示されます。
セキュリティを強化するために、このサーバーで TLS 1.0 を無効にしようとしています。TLS 1.0 を無効にするために IISCrypto 2.0 を使用しています。
TLS 1.0 を無効にすると、次の 2 つのことが観察されます。
1. RemoteApp が動作を停止します。エンド ユーザーのマシンから起動できません。
2. 直接 RDP 接続は問題なく動作します。
TLS 1.0 を再度有効にすると、RemoteApp は再び動作します。
SChannel ログでは、RemoteApps が TLS 1.2 を使用していることが確認されているため、TLS 1.0 が無効になっている場合でも RemoteApps は引き続き動作すると予想されます。ただし、私が観察しているのはそのとおりではありません。
すべてのクライアントは、完全に更新/パッチが適用されたバージョンの Windows 8.1 および 10 を使用しています。
答え1
ほぼ 1 年後、私はついに、RDP およびリモート デスクトップ サービスの接続を切断せずに TLS 1.0/1.1 を無効にする実用的なソリューションを見つけました。
IISCrypto を実行し、TLS 1.0、TLS 1.1、およびすべての不正な暗号を無効にします。
ゲートウェイ ロールを実行しているリモート デスクトップ サービス サーバーで、ローカル セキュリティ ポリシーを開き、セキュリティ オプション - システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使用するに移動します。セキュリティ設定を [有効] に変更します。変更を有効にするには、再起動します。
場合によっては (特に Server 2012 R2 で自己署名証明書を使用している場合)、セキュリティ ポリシー オプションの [ネットワーク セキュリティ: LAN Manager 認証レベル] を [NTLMv2 応答のみを送信する] に設定する必要がある場合があることに注意してください。
これがあなたにも有効かどうか教えてください。
答え2
システム暗号化: 暗号化、ハッシュ、署名には FIPS 準拠のアルゴリズムを使用します。
これにより、古いプロトコルが秘密裏に再度有効になります。Microsoft は、この設定の使用を推奨しなくなりました。
私もこれと戦っています。まだ正しい解決策は見つかっていません。
答え3
古い投稿ですが、接続ブローカー データベースに内部 SQL サーバー (WID) を使用している場合、接続ブローカーは WID と通信するために TLS 1.0 を有効にする必要があるという記事を偶然読みました。内部 SQL WID の代わりに「実際の」SQL Server データベースを接続ブローカーに使用することで、この問題を回避できます。