Windows, IIS, Remote Desktop: после отключения небезопасных шифров для ssl я не могу войти с удаленного рабочего стола

Question

Windows, IIS, Remote Desktop: после отключения небезопасных шифров для ssl я не могу войти с удаленного рабочего стола

В процессе настройки веб-сайта HTTPS и в соответствии с его лучшими практиками сначала я отключил ssl v3 (без проблем), а затем отключил более старые незащищенные шифры и включил только:

TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

Однако после этого я не могу войти через удаленный рабочий стол. Возможно, какая-то несовместимость шифров? Клиент RD находится в Windows XP, сервер - Windows 2012 R2. Как я могу решить это? Я не хочу повторно включать старые незащищенные шифры для IIS.

заранее спасибо

0

ssl iis windows-server-2012-r2 remote-desktop cipher

Источник

MirrorMirror 11 сен '17 в 11:03

2 ответа

Решение

Помимо того, что TLS 1.0 включен, вам также нужно включить 3DES, если вам абсолютно необходимо RDP на сервер от клиента XP.

Хотя это неправильный ответ, правильный ответ - использовать современную, безопасную и поддерживаемую клиентскую ОС; в настоящее время Windows 7 или новее.

Никто не должен использовать Windows XP сегодня, за исключением исключительных обстоятельств, в этом случае машина должна иметь воздушный зазор. Вы, конечно, не должны использовать его для администрирования веб-сервера!

1

Источник

Steve365 17 сен '17 в 07:10

Другие вопросы по тегам ssl iis windows-server-2012-r2 remote-desktop cipher

duenni 11 сен '17 в 11:45 2017-09-11 11:45 · Accepted Answer · 2017-09-11 11:45

Более старые версии RDP не поддерживают ничего выше TLS 1.0. Здесь есть патч для Windows 7 и Windows Server 2008 R2. Windows 2012 поддерживает этот OOTB. TLS 1.1 и TLS 1.2 включены по умолчанию в выпусках Windows 8.1. Windows XP - это EOL, патча нет. Таким образом, если вы отключите TLS 1.0 на стороне сервера, вы не сможете подключиться к клиенту Windows XP.