windows-server-2008 – 对所有连接都要求RDP上的TLS

发布时间：2020-12-30 11:21 所属栏目：117 来源：网络整理

导读：我有一台2008 DC和一台2008 AD CS服务器和一台 Windows 7客户端.我想要的是要求在RDP到服务器时使用证书. 证书有效,如果我使用FQDN连接,则表明我已按照预期通过证书和Kerberos进行身份验证.当我仅使用主机名连接时,我被允许连接并且仅由Kerberos进行身份验证

我有一台2008 DC和一台2008 AD CS服务器和一台 Windows 7客户端.我想要的是要求在RDP到服务器时使用证书.

证书有效,如果我使用FQDN连接,则表明我已按照预期通过证书和Kerberos进行身份验证.当我仅使用主机名连接时,我被允许连接并且仅由Kerberos进行身份验证,即使我在服务器上设置了要求TLS 1.0,我正在进行RDP.我完全理解,除非服务器被FQDN访问,否则证书将无效,我想要做的是禁止不使用证书和Kerberos的连接.

我认为设置Require TLS 1.0会这样做.我错过了什么？

>开始 – >管理工具 – >终端服务 – >终端服务配置
>右键单击RDP-Tcp并选择“属性”
>“安全层”默认为“协商”,必须更改为“SSL(TLS 1.0)”
>“加密级别”必须设置为“高”或“符合FIPS”

参考：http://technet.microsoft.com/en-us/library/cc782610(WS.10).aspx

编辑：
Microsoft Technet文章指出无法通过组策略启用TLS.但是,我已经对Process Monitor和Regedit进行了一些实验,并确定您可以通过设置相应的注册表值来更改这些设置,如下所示.

要将最低加密级别设置为“高”而不是“客户端兼容”：

HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\MinEncryptionLevel
REG_DWORD Value: 3

要将安全层设置为“SSL(TLS 1.0)”而不是“Negotiate”：

HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer REG_DWORD Value: 2

（编辑：ASP站长网）