Обратите внимание, этот сценарий отличается от похожего: Как отключить TLS 1.0, не нарушая RDP?
Связанный вопрос касается RDP и отключения TLS 1.0.
Этот вопрос касается RemoteApp и отключения TLS 1.0.
У меня уже есть прямой RDP через порт 3389, работающий с TLS 1.2.
У нас есть сервер 2012R2, на котором размещены удаленные приложения RemoteApp.
На этом сервере установлены роли RD Gateway, RD Web Access, RD Connection Broker, RD Session Host.
RemoteApp обслуживаются через RD Gateway по https. Единственный открытый публичный порт — 443.
У нас есть публичный сертификат SSL, предоставленный центром сертификации, установленный во всех ролях RD и IIS, поэтому все отслеживается до доверенного корневого сертификата.
Сертификат поддерживает TLS 1.2, я вижу это в веб-браузере, когда просматриваю сайт RDWeb.
Мы привязываемся к отключению TLS 1.0 на этом сервере, чтобы усилить безопасность. Мы используем IISCrypto 2.0 для отключения TLS 1.0
При отключении TLS 1.0 наблюдаются две вещи:
1. RemoteApp перестают работать. Их невозможно запустить с машины конечного пользователя.
2. Прямые RDP-подключения работают отлично.
Когда мы снова включаем TLS 1.0, RemoteApp снова работает.
Журналирование SChannel подтверждает, что RemoteApps используют TLS 1.2, поэтому я ожидаю, что RemoteApps продолжат работать, когда TLS 1.0 отключен. Однако это не то, что я наблюдаю.
Все клиенты используют полностью обновленные/исправленные версии Windows 8.1 и 10.
решение1
Спустя почти год я наконец нашел работающее решение для отключения TLS 1.0/1.1 без нарушения подключения RDP и служб удаленных рабочих столов.
Запустите IISCrypto и отключите TLS 1.0, TLS 1.1 и все плохие шифры.
На сервере Remote Desktop Services, на котором запущена роль шлюза, откройте Local Security Policy и перейдите в Security Options - System cryptography: Use FIPS compliant algorithms for encrypted, hashing, and signing. Измените параметр безопасности на Enabled. Перезагрузите компьютер, чтобы изменения вступили в силу.
Обратите внимание, что в некоторых случаях (особенно при использовании самоподписанных сертификатов на Server 2012 R2) для параметра политики безопасности «Сетевая безопасность: уровень аутентификации LAN Manager» может потребоваться установить значение «Отправлять только ответы NTLMv2».
Дайте мне знать, если это сработает и для вас.
решение2
Системная криптография: используйте алгоритмы, соответствующие стандарту FIPS, для шифрования, хеширования и подписания.
Это тайно снова включает старые протоколы. Microsoft даже не рекомендует больше использовать эту настройку.
Я тоже с этим боролся. Пока не нашел правильного решения.
решение3
Старый пост, но я только что случайно прочитал статью, в которой говорится, что если вы используете внутренний сервер SQL (WID) для базы данных брокера подключений, брокеру подключений необходимо включить TLS 1.0 для взаимодействия с WID. Вы можете обойти это, используя «реальную» базу данных SQL Server для брокера подключений вместо внутреннего SQL WID.