이 시나리오는 유사한 시나리오와 다릅니다. RDP를 중단하지 않고 TLS 1.0을 비활성화하려면 어떻게 해야 합니까?
연결된 질문은 RDP 및 TLS 1.0 비활성화에 관한 것입니다.
이 질문은 RemoteApp 및 TLS 1.0 비활성화에 관한 것입니다.
이미 TLS 1.2에서 작동하는 포트 3389를 통한 직선 RDP가 있습니다.
RemoteApp를 호스팅하는 2012R2 서버가 있습니다.
이 서버에는 RD 게이트웨이, RD 웹 액세스, RD 연결 브로커, RD 세션 호스트 역할이 설치되어 있습니다.
RemoteApp는 https를 통해 RD 게이트웨이를 통해 제공됩니다. 우리가 열려 있는 유일한 공용 포트는 443입니다.
모든 RD 역할과 IIS에 공용 CA 제공 와일드카드 SSL 인증서가 설치되어 있으므로 모든 것이 신뢰할 수 있는 루트 인증서로 추적됩니다.
인증서는 TLS 1.2를 지원합니다. RDWeb 웹 사이트를 볼 때 웹 브라우저에 이 내용이 표시됩니다.
보안을 강화하기 위해 이 서버에서 TLS 1.0을 비활성화하려고 합니다. TLS 1.0을 비활성화하기 위해 IISCrypto 2.0을 사용하고 있습니다.
TLS 1.0을 비활성화하면 다음 두 가지 사항이 관찰됩니다.
1.RemoteApp이 작동을 멈춥니다. 최종 사용자 컴퓨터에서는 시작할 수 없습니다.
2. 직선 RDP 연결이 잘 작동합니다.
TLS 1.0을 다시 활성화하면 RemoteApp의 작업이 다시 수행됩니다.
SChannel 로깅은 RemoteApps가 TLS 1.2를 사용하고 있음을 확인하므로 TLS 1.0이 비활성화되어도 RemoteApps가 계속 작동할 것으로 예상됩니다. 그러나 그것은 내가 관찰하고 있는 것이 아니다.
모든 클라이언트는 Windows 8.1 및 10의 완전히 업데이트/패치된 버전을 사용하고 있습니다.
답변1
거의 1년이 지난 후 마침내 RDP 및 원격 데스크톱 서비스 연결을 끊지 않고 TLS 1.0/1.1을 비활성화하는 효과적인 솔루션을 찾아냈습니다.
IISCrypto를 실행하고 TLS 1.0, TLS 1.1 및 모든 잘못된 암호를 비활성화합니다.
게이트웨이 역할을 실행하는 원격 데스크톱 서비스 서버에서 로컬 보안 정책을 열고 보안 옵션 - 시스템 암호화: 암호화, 해싱 및 서명에 FIPS 호환 알고리즘 사용으로 이동합니다. 보안 설정을 활성화로 변경합니다. 변경 사항을 적용하려면 재부팅하세요.
어떤 경우에는(특히 Server 2012 R2에서 자체 서명된 인증서를 사용하는 경우) 보안 정책 옵션인 네트워크 보안: LAN Manager 인증 수준을 NTLMv2 응답만 보내기로 설정해야 할 수도 있습니다.
이것이 당신에게도 효과가 있는지 알려주세요.
답변2
시스템 암호화: 암호화, 해싱 및 서명에 FIPS 호환 알고리즘을 사용합니다.
그러면 이전 프로토콜이 비밀리에 다시 활성화됩니다. Microsoft는 더 이상 이 설정 사용을 권장하지 않습니다.
나도 이것과 싸워왔다. 아직 올바른 해결책을 찾지 못했습니다.
답변3
오래된 게시물이지만, 연결 브로커 데이터베이스로 내부 SQL 서버(WID)를 사용하는 경우 연결 브로커가 WID와 통신하려면 TLS 1.0을 활성화해야 한다는 기사를 방금 읽었습니다. 내부 SQL WID 대신 연결 브로커에 "실제" SQL Server 데이터베이스를 사용하여 이 문제를 해결할 수 있습니다.