Cómo deshabilitar TLS 1.0 en Windows 2012 RDP

Antecedentes: Lo único que puedo encontrar sobre cómo hacer esto se relaciona con RDP en Windows 2008, que parece tener algo llamado "Configuración de host de sesión de escritorio remoto" en Herramientas administrativas. Esto NO existe en Windows 2012 y parece que ahora también hay forma de agregarlo a través de una MMC. Leí aquí para 2008, usando la configuración de host RDS, puede simplemente apagarlo.

Pregunta: Entonces, en Windows 2012, ¿cómo puede desactivar TLS 1.0, pero aún así poder convertir RDP en un servidor Windows 2012?

Originalmente, entiendo que SOLO TLS 1.0 fue compatible con Win2012 RDP . Sin embargo, TLS 1.0 según PCI ya no está permitido. Se supone que esto se solucionó para el servidor de Windows 2008r2 según este artículo . Sin embargo, esto no aborda el Servidor 2012 que ni siquiera tiene un aparato de interfaz gráfica de usuario administrativo para realizar cambios en los protocolos que utilizará RDP que conozco.

Deshabilitar TLS es una configuración de registro de todo el sistema:

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

Además, el requisito de PCI para deshabilitar TLS temprana no entrará en vigencia hasta el 30 de junio de 2016.

Internet Explorer es un producto que conozco que tiene una opción de configuración separada para la configuración de cifrado TLS / SSL. Puede haber otros.

Tengo un servidor Windows 2012 R2 con TLS 1.0 deshabilitado y puedo usar el escritorio remoto.

Si se está preguntando, a continuación se muestra una captura de pantalla de tsconfig.msc en un servidor Windows 2008 R2 que tiene instalado KB3080079. No hay nada que configurar porque lo único que hizo la actualización fue agregar soporte para los otros dos niveles de cifrado TLS para que cuando TLS 1.0 esté deshabilitado, continúe funcionando.

Si deshabilita TLS 1.0 y desea que RDP siga funcionando, entonces, utilizando el Editor de directivas de grupo local, debe seleccionar la capa de seguridad "Negociar" para RDP en "Configuración del equipo \ Plantillas administrativas \ Windows \ Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Seguridad "" Requiere el uso de una capa de seguridad específica para conexiones remotas (RDP) ". y también seleccione "Habilitado". Esto también funciona en 2012R2.

Después de casi un año, finalmente descubrí una solución de trabajo para deshabilitar TLS 1.0 / 1.1 sin interrumpir la conectividad de RDP y Servicios de escritorio remoto.

Ejecute IISCrypto y desactive TLS 1.0, TLS 1.1 y todos los cifrados incorrectos.

En el servidor de Servicios de Escritorio remoto que ejecuta la función de puerta de enlace, abra la Política de seguridad local y navegue a Opciones de seguridad - Criptografía del sistema: use algoritmos compatibles con FIPS para cifrado, hash y firma. Cambie la configuración de seguridad a Activado. Reinicie para que los cambios surtan efecto.

Tenga en cuenta que en algunos casos (especialmente si usa certificados autofirmados en Server 2012 R2), la opción de Política de seguridad Seguridad de red: el nivel de autenticación de LAN Manager puede necesitar configurarse para Enviar solo respuestas NTLMv2.

Avísame si esto también funciona para ti.