我有一台2008 DC和一台2008 AD CS服务器和一台
Windows 7客户端.我想要的是要求在RDP到服务器时使用证书.
证书有效,如果我使用FQDN连接,则表明我已按照预期通过证书和Kerberos进行身份验证.当我仅使用主机名连接时,我被允许连接并且仅由Kerberos进行身份验证,即使我在服务器上设置了要求TLS 1.0,我正在进行RDP.我完全理解,除非服务器被FQDN访问,否则证书将无效,我想要做的是禁止不使用证书和Kerberos的连接.
我认为设置Require TLS 1.0会这样做.我错过了什么?
@H_
301_6@
>开始 – >管理工具 – >终端服务 – >终端服务配置
>右键单击RDP-Tcp并选择“
属性”
>“安全层”默认为“协商”,必须更改为“SSL(TLS 1.0)”
>“加密级别”必须设置为“高”或“符合FIPS”
参考:http://technet.microsoft.com/en-us/library/cc782610(WS.10).aspx
编辑:
Microsoft Technet文章指出无法通过组策略启用TLS.但是,我已经对Process Monitor和Regedit进行了一些实验,并确定您可以通过设置相应的注册表值来更改这些设置,如下所示.
要将最低加密级别设置为“高”而不是“客户端兼容”:
HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\MinEncryptionLevel
REG_DWORD Value: 3
要将安全层设置为“SSL(TLS 1.0)”而不是“Negotiate”:
HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer REG_DWORD Value: 2