Je me penche sur cette question depuis quelques jours car nous devons nous conformer à la norme PCI-DSS 3.1 qui exige que TLS 1.0 soit désactivé.
Nous ne voulons pas non plus nous rabattre sur la couche de sécurité RDP, qui pose un problème de sécurité majeur.
J'ai finalement réussi à trouver de la documentation qui confirme que TLS 1.1 et TLS 1.2 SONT supportés par RDP. Cette documentation est cachée dans un Journalisation du canal SC et un spécification très détaillée pour RDP .
Il semble qu'il y ait un manque total de documentation sur Technet ou sur d'autres sites Microsoft, alors j'espère que le fait de documenter ceci ici pourra aider certaines personnes.
Extraits pertinents des liens fournis :
A partir du lien MSDN :
"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]),
TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"
Extrait de la spécification RDP PDF :
"When Enhanced RDP Security is used, RDP traffic is no longer protected by using
the techniques described in section 5.3. Instead, all security operations (such as
encryption and decryption, data integrity checks, and Server Authentication) are
implemented by one of the following External Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"
"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server,
Windows XP,Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5: TLS 1.2 is not supported by Windows NT, Windows 2000 Server,
Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008"
On peut donc en conclure que vous pouvez utiliser TLS 1.1 ou 1.2 sur Windows Server 2008 R2 conformément à cette documentation.
Cependant, nos tests ont montré que cela ne fonctionne PAS avec le client RDP de Windows 7 (version 6.3.9600) lorsque TLS 1.0 est désactivé et que l'option de sécurité RDP est configurée pour exiger TLS 1.0.
Il s'agit bien sûr d'activer TLS 1.1 et 1.2, qui sont désactivés par défaut sur 2008R2 - nous le faisons d'ailleurs à l'aide de la très utile fonction IIS Crypto Tool de Nartac Software .
Lorsque vous examinez ce problème, il est utile d'activer la journalisation SChannel pour voir plus en détail ce qui se passe lorsque votre session est ouverte.
Vous pouvez définir Journalisation du canal SC en modifiant le fichier HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging sur 5 et redémarrer.
Une fois que cela a été fait, vous pouvez observer les événements SChannel qui montrent la version TLS utilisée lorsqu'une connexion RDP est établie. Une fois la journalisation activée, vous pouvez observer l'erreur SChannel lorsque le client RDP tente d'établir une connexion sur Windows 2008 R2 avec TLS 1.0 désactivé :
A fatal error occurred while creating an SSL server credential.
The internal error state is 10013.
J'ai également testé la désactivation de TLS 1.0 sur Windows Server 2012 et 2012 R2, ce qui fonctionne parfaitement avec le client RDP de Windows 7. L'entrée du journal SChannel montre que TLS 1.2 est utilisé :
An SSL server handshake completed successfully. The negotiated
cryptographic parameters are as follows.
Protocol: TLS 1.2
CipherSuite: 0xC028
Exchange strength: 256
J'espère que cela aidera quelqu'un qui cherche des éclaircissements à ce sujet.
Je vais continuer à chercher comment faire fonctionner RDP avec TLS 1.1 et TLS 1.2 dans Windows Server 2008 R2.
MISE À JOUR : 2015-AUG-05
Nous avons soulevé le problème du non fonctionnement de RDP avec le serveur 2008 R2 auprès de l'assistance Microsoft, y compris les étapes à suivre pour le reproduire.
Après plusieurs semaines de va-et-vient, nous avons finalement reçu aujourd'hui un appel téléphonique de l'équipe d'assistance qui nous a confirmé qu'elle pouvait effectivement reproduire le problème et que celui-ci était désormais considéré comme un bogue. Un patch de mise à jour sera publié, à l'heure actuelle, il est attendu pour octobre 2015. Dès que j'aurai un article KB ou d'autres détails, je les ajouterai à ce post.
Espérons que ceux qui sont coincés avec Windows Server 2008 R2 pourront au moins résoudre ce problème avant la date limite de juin 2016, une fois que le correctif aura été publié.
MISE À JOUR : 19 septembre 2015
Microsoft a enfin publié un article d'assistance sur ce sujet. aquí et je peux confirmer qu'il fonctionne correctement.
0 votes
Mes excuses à tous - les instructions que j'ai postées ne sont valables que pour Win8/Server2012/2012R2... elles ne fonctionnent pas sur 2008R2/Win7. J'ai testé 2008R2 et ce n'est pas la même chose. Je suis désolé.
0 votes
Et notez qu'en 2012, comme le mentionne l'auteur, la suppression de TLS 1.0 oblige RDP à rétrograder vers la couche de sécurité RDP.
0 votes
J'ai fait la même chose et je n'arrive pas à entrer dans mon serveur (AWS), avez-vous réussi à trouver un moyen d'entrer sans accès physique ?
0 votes
Malheureusement, non. En fait, je me souviens avoir pensé : "Heureusement qu'il ne s'agit pas d'un serveur virtuel !".
0 votes
Quelqu'un a-t-il connaissance d'une documentation indiquant que RDP for TLS 1.2 est pris en charge par le serveur Windows 2012 R2 ? Microsoft a supprimé l'outil de configuration de l'interface graphique pour les connexions RDP en 2012 et le seul moyen de le modifier est donc d'utiliser GPEdit qui affiche toujours l'option "Require use of specific security layer for remote (RDP) connections" avec une valeur de SSL (TLS 1.0). Cela indique que TLS 1.0 est la seule version prise en charge.
0 votes
Il ne s'agit pas seulement de RDP. Aucune version du serveur SQL ne fonctionne avec TLS 1.1/1.2, et les services Web d'Exchange sont également concernés. Ce n'est que récemment que la prise en charge de TLS 1.1/1.2 a été ajoutée pour SMTP dans Exchange 2010 SP3 RU9.
0 votes
@CarlR La demande de UserVoice à laquelle vous avez fait référence a apparemment été postée au mauvais endroit. J'en ai créé une autre ici : remotedesktop.uservoice.com/forums/
1 votes
Selon cet article de support, Microsoft a récemment corrigé SQL 2012 et 2014 pour qu'ils fonctionnent avec TLS 1.1 et 1.2. support.microsoft.com/en-us/kb/3052404
1 votes
@CarlR cet article ne semble pas mentionner spécifiquement la connexion RDP au serveur. En fait, il semble être spécifique à la connectivité de la base de données elle-même puisqu'il mentionne : "Cette mise à jour ajoute la prise en charge du protocole Transport Layer Security (TLS) version 1.2 à la base de données. SQL Server 2014 et à l'application Microsoft Pilote ODBC pour SQL Server".
0 votes
@k1DBLITZ Oui, je sais qu'il ne s'agit pas du rdp. Il s'agit spécifiquement de SQL server. Je l'ai mentionné en réponse au commentaire précédent de Greg Askew, selon lequel ce problème affectait également d'autres plates-formes.
0 votes
Cet article était le meilleur, il a donné à mon serveur un A sur le test de SSLLabs.com. Il donne un powershell script pour réparer tous les registres pour : hass.de/content/