Comment désactiver TLS 1.0 sans rompre RemoteApps sur le serveur 2012 R2

Notez que ce scénario est différent de celui d'un autre: Comment puis-je désactiver TLS 1.0 sans casser le RDP?

La question liée concerne RDP et désactive TLS 1.0.

Cette question concerne RemoteApp et invalidant TLS 1.0

J'ai déjà un RDP direct sur le port 3389 travaillant avec TLS 1.2.

Nous avons un serveur 2012R2 hébergeant RemoteApp's.

Nous disposons des rôles Host Gateway, RD Web Access, RD Connection Broker, RD Session Host installés sur ce serveur.

Les RemoteApp sont servis via la passerelle RD via https. Le seul port public que nous avons ouvert est 443.

Nous disposons d'un certificat SSL fourni avec un certificat universel certifié installé dans tous les Rôles RD et IIS, de sorte que tous les traces remontent à un certificat racine approuvé.

Le cert prend en charge TLS 1.2, je le vois dans un navigateur Web lorsque je visualise le site Web de RDWeb.

Nous essayons de désactiver TLS 1.0 sur ce serveur pour resserrer la sécurité. Nous utilisons IISCrypto 2.0 pour désactiver TLS 1.0

Lorsque nous désactivons TLS 1.0, deux choses sont observées:

1.Le RemoteApp cesse de fonctionner. Ils ne peuvent pas être lancés à partir d'une machine utilisateur final.

Les connexions 2.Straight RDP fonctionnent très bien.

Lorsque nous réactivons TLS 1.0, le travail RemoteApp à nouveau.

L'enregistrement SChannel confirme que RemoteApps utilise TLS 1.2, alors je m'attends à ce que RemoteApps continue de fonctionner lorsque TLS 1.0 est désactivé. Cependant, ce n'est pas ce que j'observe.

Tous les clients utilisent des versions entièrement mises à jour / corrigées de Windows 8.1 et 10.

One Solution collect form web for “Comment désactiver TLS 1.0 sans rompre RemoteApps sur le serveur 2012 R2”

Après presque un an, j'ai enfin découvert une solution de travail pour invalider TLS 1.0 / 1.1 sans compromis la connectivité RDP et Remote Desktop Services.

Exécutez IISCrypto et désactivez TLS 1.0, TLS 1.1 et tous les chiffres incorrects.

Sur le serveur Remote Desktop Services exécutant le rôle de la passerelle, ouvrez la Politique de sécurité locale et accédez à Options de sécurité – Cryptographie du système: utilisez des algorithmes FIPS compatibles pour le cryptage, le hachage et la signature. Modifiez le paramètre de sécurité sur Activé. Redémarrez pour que les modifications prennent effet.

Notez que dans certains cas (en particulier si vous utilisez des certificats auto-signés sur Server 2012 R2), l'option Stratégie de sécurité Sécurité réseau: le niveau d'authentification LAN Manager peut être configuré pour envoyer uniquement les réponses NTLMv2.

Permettez-moi de savoir si cela fonctionne pour vous aussi.

  • Sécurité du server de files Server 2012 - Accès au file via un logiciel uniquement?
  • Impossible de join AD Domain, DCs inputs DNS défectueux
  • La meilleure façon de surveiller le server Windows?
  • Le nom de domaine racine doit-il être enregistré lors de la création d'une nouvelle forêt dans Active Directory?
  • Ouvrez une nouvelle console cmd sur le kernel Windows 2012 Server après avoir fermé la dernière?
  • Samba4 AD domaine vs Windows AD domaine
  • Existe-t-il une command pour envoyer des rapports d'erreurs Windows (WER)?
  • Existe-t-il un moyen de changer les passwords sur plusieurs servers simultanément?
  • Netlogon Share Missing from Domain (server 2012 R2) (DFSR)
  • Quelle est la différence entre une session et un conteneur key?
  • Contrôleur de domaine avec le count d'user local Active Directory
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.