Observe que este cenário é diferente de um semelhante: Como desativo o TLS 1.0 sem interromper o RDP?
A pergunta vinculada é sobre RDP e desativação do TLS 1.0.
Esta pergunta é sobre RemoteApp e desativação do TLS 1.0
Já tenho RDP direto na porta 3389 trabalhando com TLS 1.2.
Temos um servidor 2012R2 hospedando RemoteApps.
Temos as funções RD Gateway, RD Web Access, RD Connection Broker e RD Session Host instaladas neste servidor.
Os RemoteApps são servidos através do Gateway RD através de https. O único porto público que temos aberto é o 443.
Temos um certificado SSL curinga fornecido por uma CA pública instalado em todas as funções RD e IIS, portanto, tudo remonta a um certificado raiz confiável.
O certificado suporta TLS 1.2. Vejo isso em um navegador quando visualizo o site RDWeb.
Estamos tentando desabilitar o TLS 1.0 neste servidor para aumentar a segurança. Estamos usando IISCrypto 2.0 para desativar o TLS 1.0
Quando desabilitamos o TLS 1.0 duas coisas são observadas:
1.O RemoteApp para de funcionar. Eles não podem ser iniciados a partir de uma máquina de usuário final.
2. Conexões RDP diretas funcionam perfeitamente.
Quando reativamos o TLS 1.0, o RemoteApp funciona novamente.
O log do SChannel confirma que os RemoteApps estão usando o TLS 1.2, portanto, espero que os RemoteApps continuem funcionando quando o TLS 1.0 estiver desabilitado. Contudo não é isso que estou observando.
Todos os clientes estão usando versões totalmente atualizadas/corrigidas do Windows 8.1 e 10.
Responder1
Depois de quase um ano, finalmente descobri uma solução funcional para desabilitar o TLS 1.0/1.1 sem interromper a conectividade do RDP e dos serviços de área de trabalho remota.
Execute IISCrypto e desative TLS 1.0, TLS 1.1 e todas as cifras ruins.
No servidor de Serviços de Área de Trabalho Remota que executa a função de gateway, abra a Política de Segurança Local e navegue até Opções de Segurança - Criptografia do sistema: Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura. Altere a configuração de segurança para Ativado. Reinicie para que as alterações tenham efeito.
Observe que em alguns casos (especialmente se estiver usando certificados autoassinados no Server 2012 R2), a opção Política de Segurança Segurança de Rede: nível de autenticação do LAN Manager pode precisar ser definida como Enviar somente respostas NTLMv2.
Deixe-me saber se isso funciona para você também.
Responder2
Criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.
Isso reativa secretamente os protocolos mais antigos. A Microsoft nem recomenda mais o uso da configuração.
Eu tenho lutado contra isso também. Ainda não encontrei a solução certa.
Responder3
Postagem antiga, mas acabei de ler um artigo que diz que se você estiver usando o servidor SQL interno (WID) para o banco de dados do agente de conexão, o agente de conexão precisa do TLS 1.0 habilitado para se comunicar com o WID. Você pode contornar isso usando um banco de dados SQL Server "real" para o intermediário de conexão em vez do SQL WID interno.