আরডিপি না ভেঙে আমি কীভাবে টিএলএস 1.0 অক্ষম করব?

আমাদের ক্রেডিট কার্ড প্রসেসর সম্প্রতি আমাদের জানিয়েছে যে ৩০ জুন, ২০১ of পর্যন্ত পিসিআই অনুগত থাকার জন্য আমাদের টিএলএস 1.0 অক্ষম করতে হবে । আমি আমাদের উইন্ডোজ সার্ভার ২০০৮ আর 2 মেশিনে টিএলএস 1.0 অক্ষম করে সক্রিয় হওয়ার চেষ্টা করেছি, কেবল রিবুট হওয়ার পরেই আমি রিমোট ডেস্কটপ প্রোটোকলের (আরডিপি) মাধ্যমে এটির সাথে সংযোগ দিতে পুরোপুরি অক্ষম ছিলাম। কিছু গবেষণার পরে, এটি উপস্থিত হয় যে আরডিপি কেবলমাত্র টিএলএস 1.0 সমর্থন করে ( এখানে বা এখানে দেখুন ), বা কমপক্ষে এটি কীভাবে টিএলএস 1.1 বা টিএলএস 1.2 এর মাধ্যমে আরডিপি সক্ষম করতে হবে তা পরিষ্কার নয়। আরডিপি না ভেঙে উইন্ডোজ সার্ভার ২০০৮ আর 2 এ টিএলএস 1.0 অক্ষম করার কোনও উপায় কি কেউ জানেন? মাইক্রোসফ্ট কি টিডিএস ১.১ বা টিএলএস ১.২ এর উপরে আরডিপির পক্ষে সমর্থন করার পরিকল্পনা করে?

দ্রষ্টব্য: আরডিপি সুরক্ষা স্তরটি ব্যবহার করার জন্য সার্ভারটি কনফিগার করে এটি করার একটি উপায় রয়েছে বলে মনে হয় তবে এটি নেটওয়ার্ক স্তরের প্রমাণীকরণকে অক্ষম করে , যা মনে হয় অন্যের জন্য মন্দ হিসাবে ব্যবসা করে।

আপডেট 1 : মাইক্রোসফ্ট এখন এই সমস্যাটি সম্বোধন করেছে। সম্পর্কিত সার্ভার আপডেটের জন্য নীচের উত্তরটি দেখুন ।

আপডেট 2 : মাইক্রোসফ্ট পিসিআই ডিএসএস 3.1 এর জন্য এসকিউএল সার্ভার সমর্থন সম্পর্কিত একটি টিউটোরিয়াল প্রকাশ করেছে ।

মাইক্রোসফ্ট 15 সেপ্টেম্বর, 2015 এই সমস্যার জন্য প্যাচ প্রকাশ করেছে

Https://support.microsoft.com/en-us/kb/3080079 দেখুন

পিসিআই-ডিএসএস ৩.১ মেনে চলতে হবে, যার জন্য টিএলএস ১.০ অক্ষম করতে হবে, আমি এখন কয়েক দিন ধরে এটি সন্ধান করছি।

আমরা আরডিপি সুরক্ষা স্তরে ফিরে যেতে চাই না যা একটি প্রধান সুরক্ষা উদ্বেগ।

অবশেষে আমি এমন কিছু ডকুমেন্টেশন সন্ধান করতে পেরেছি যা নিশ্চিত করে যে টিডিএস 1.1 এবং টিএলএস 1.2 টি আরডিপি দ্বারা সমর্থিত। এই ডকুমেন্টেশনটি একটি স্ক্যানেল লগিং এবং আরডিপির খুব বিশদ বিবরণে লুকিয়ে রয়েছে ।

টেকনেট বা অন্যান্য মাইক্রোসফ্ট সাইটগুলিতে মূল স্ট্রিম ডকুমেন্টেশনের সম্পূর্ণ অভাব রয়েছে বলে মনে হয় এটি এখানে আশা করা যায় যে এটি নথিবদ্ধ করা কিছু লোককে সহায়তা করতে পারে।

সরবরাহিত লিঙ্কগুলি থেকে প্রাসঙ্গিক নিষ্কাশন:

এমএসডিএন লিঙ্ক থেকে:

"RDP supports four External Security Protocols: TLS 1.0 ([RFC2246]) TLS 1.1 ([RFC4346])<39>, TLS 1.2 ([RFC5246])<40>"

আরডিপি নির্দিষ্টকরণের পিডিএফ থেকে:

"When Enhanced RDP Security is used, RDP traffic is no longer protected by using the techniques
described in section 5.3. Instead, all security operations (such as encryption and decryption, data
integrity checks, and Server Authentication) are implemented by one of the following External
Security Protocols:
TLS 1.0 (see [RFC2246])
TLS 1.1 (see [RFC4346])
TLS 1.2 (see [RFC5246])
CredSSP (see [MS-CSSP])"

"<39> Section 5.4.5: TLS 1.1 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista and Windows Server 2008.
<40> Section 5.4.5:  TLS 1.2 is not supported by Windows NT, Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, and Windows Server 2008"

সুতরাং এক সিদ্ধান্তে পৌঁছে যে আপনি এই ডকুমেন্টেশন অনুসারে উইন্ডোজ সার্ভার ২০০৮ আর 2 তে টিএলএস 1.1 বা 1.2 ব্যবহার করতে পারেন।

তবে আমাদের পরীক্ষায় প্রমাণিত হয়েছে যে টিএলএস 1.0 অক্ষম হয়ে থাকলে এবং আরডিপি সুরক্ষা বিকল্পটি টিএলএস 1.0 প্রয়োজন হয় যখন উইন্ডোজ 7 আরডিপি ক্লায়েন্ট (সংস্করণ 6.3.9600) থেকে কাজ করে না।

এটি অবশ্যই পাশাপাশি টিএলএস 1.1 এবং 1.2 সক্ষম করে যা ২০০৮ আরআর-তে ডিফল্টভাবে বন্ধ রয়েছে - ঘটনাক্রমে আমরা নর্থাক সফটওয়্যার থেকে খুব দরকারী আইআইএস ক্রিপ্টো সরঞ্জাম ব্যবহার করে এটি করি ।

এই ইস্যুটি দেখার সময় আপনার সেশনটি খোলা থাকে তখন কী ঘটছে তার আরও বিশদ দেখতে স্ক্যানেল লগিং সক্ষম করা কার্যকর।

আপনি HKEY_LOCAL_MACHINE \ সিস্টেম \ কারেন্টকন্ট্রোলসেট \ কন্ট্রোল P সিকিউরিটি প্রোভাইডারস \ এসসিএইচএল \ ইভেন্টলগিং কী 5-এ পরিবর্তন করে এবং রিবুট করে স্ক্যানেল লগিং সেট করতে পারেন ।

এটি হয়ে গেলে আপনি স্ক্যানেল ইভেন্টগুলি পর্যবেক্ষণ করতে পারবেন যা কোনও আরডিপি সংযোগ তৈরি হওয়ার পরে টিএলএস সংস্করণটি ব্যবহৃত হচ্ছে তা দেখায়। লগিং সক্ষম হয়ে গেলে, আরডিপি ক্লায়েন্ট টিএলএস 1.0 অক্ষম করে উইন্ডোজ ২০০৮ আর 2 এ সংযোগ স্থাপনের চেষ্টা করলে আপনি স্ক্যানেল ত্রুটিটি পর্যবেক্ষণ করতে পারেন:

A fatal error occurred while creating an SSL server credential. The internal error state is 10013.

আমি উইন্ডোজ সার্ভার 2012 এবং 2012 আর 2 তে টিএলএস 1.0 অক্ষম করারও পরীক্ষা করেছি যা আমি নিশ্চিত করতে পারি যে উইন্ডোজ 7 আরডিপি ক্লায়েন্ট ব্যবহার করে নিখুঁতভাবে কাজ করে। স্ক্যানেল লগ এন্ট্রি টিএলএস 1.2 ব্যবহার হচ্ছে তা দেখায়:

An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.

   Protocol: TLS 1.2
   CipherSuite: 0xC028
   Exchange strength: 256

আমি আশা করি এটি এই বিষয়ে স্পষ্টতা খুঁজছেন এমন কাউকে সহায়তা করবে।

আমি কীভাবে আমরা উইন্ডোজ সার্ভার ২০০৮ আর -২-এ টিডিএস ১.১ এবং টিএলএস ১.২-এর মাধ্যমে আরডিপি পেতে পারি তা সন্ধান করতে থাকব continue

আপডেট: 2015-AUG-05

আমরা আরডিপি সার্ভার ২০০৮ আর 2 এর সাথে মাইক্রোসফ্ট সমর্থন সহ কাজ না করার বিষয়টি পুনরুত্পাদন করার পদক্ষেপগুলি সহ উত্থাপন করেছি।

বেশ কয়েক সপ্তাহ পিছনে এবং অগ্রিমতার পরে অবশেষে আমরা আজ সমর্থনকারী টিমের কাছ থেকে একটি ফোন কল পেয়েছি যে তারা সত্যই এটি পুনরুত্পাদন করতে পারে এবং এটি এখন একটি বাগ হিসাবে শ্রেণীবদ্ধ করা হয়েছে ledge ২০১৫ সালের অক্টোবরে এটির প্রত্যাশার মুহুর্তে একটি আপডেট প্যাচ প্রকাশ করা হবে I আমার কাছে কোনও কেবি নিবন্ধ বা অন্যান্য বিবরণ উপস্থিত হওয়ার সাথে সাথে আমি তাদের এই পোস্টে যুক্ত করব।

আশা করি উইন্ডোজ সার্ভার ২০০৮ আর 2 এর সাথে আটকে থাকা লোকেরা প্যাচটি প্রকাশের পরে জুন 2016 এর সময়সীমা হওয়ার আগে কমপক্ষে এটিকে সমাধান করতে পারে।

আপডেট: 19 শে সেপ্টেম্বর 2015

মাইক্রোসফ্ট অবশেষে এখানে একটি কেবি সমর্থন নিবন্ধ প্রকাশ করেছে এবং আমি নিশ্চিত করতে পারি যে এটি ঠিক আছে।

পরিবর্তে আইপিসি ব্যবহার করুন, যেমন নথির পরামর্শ অনুসারে: "প্রথমে একটি দৃ strongly়-এনক্রিপ্ট করা অধিবেশন স্থাপন করা (যেমন আইপিএসসি টানেল), তারপরে সুরক্ষিত টানেলের মধ্যে এসএসএলের মাধ্যমে ডেটা প্রেরণ করা"

আরডিপি-র জন্য টিএলএস কনফিগার করার মাধ্যমে এটি করার প্রধান কারণ হ'ল ফায়ারওয়াল নীতিটি সহজেই কমপ্লায়েন্সের জন্য নিরীক্ষণ করা হয় (বনাম রেজিস্ট্রি পরিবর্তনগুলি সম্মতিযুক্ত) এবং আইপিএসস উইন্ডোতে কনফিগার করা বেশ সহজ।

আপনার যদি সম্পূর্ণ স্যুট বি কমপ্লায়েন্স প্রয়োজন হয় তবে উপযুক্ত সার্টিফিকেট দৈর্ঘ্যের ক্ষেত্রে প্রয়োগ করার একমাত্র উপায় টিএলএস 1.0 সহ আইপিএসইসি

এটি প্রশ্নের উত্তর নয়, তবে উপ-প্রশ্নের "আমি কীভাবে ভার্চুয়াল মেশিনে রিমোট অ্যাক্সেস পুনরুদ্ধার করব যেখানে আমি টিএলএস 1.0 অক্ষম করেছি এবং কোনও শারীরিক অ্যাক্সেস নেই?"

আমি আইআইএসক্রিপ্টো ব্যবহার করে টিএলএস 1.0 অক্ষম করেছিলাম, যা টিডিএসে সেট করা থাকলে আরডিপি কাজ বন্ধ করে দেবে এমন পার্শ্ব প্রতিক্রিয়া সম্পর্কে একটি দরকারী সতর্কতা দিয়েছে। সুতরাং আমি চেক ইন করেছি:

Admin Tools\Remote Desktop Services\Remote Desktop Session Host Configuration, RDP-Tcp, General Tab, Security Layer

এবং আমার সুরক্ষা স্তরটি "আলোচনা" তে সেট করা হয়েছিল। আমি ধরে নিয়েছি এর অর্থ টিএলএস যদি না পাওয়া যায় তবে এটি আরডিপি সুরক্ষায় কৃপণভাবে হ্রাস পাবে।

তবে না, নেগোসিয়েট সেভাবে কাজ করে না। আপনি টিএলএস 1.0 নিষ্ক্রিয় করার আগে আপনাকে নেগোসিয়েট নয়, আরডিপি সুরক্ষাতে সুরক্ষা স্তর নির্ধারণ করতে হবে।

সুতরাং আমি আমার এডাব্লুএস দৃষ্টান্তের সাথে রিমোট সংযোগের ক্ষমতা হারিয়ে ফেলেছি!

পুনরায় সংযোগ করতে, আমি অন্য AWS উদাহরণ ব্যবহার করেছি।

1. আমার "হারিয়ে যাওয়া" মেশিনে সেই মেশিন থেকে ফায়ারওয়াল সংযোগের অনুমতি দেওয়ার জন্য আমি সুরক্ষা গ্রুপ আপডেট করেছি।
2. আমি প্রশাসকের ব্যবহারকারীর এবং পাসওয়ার্ড সহ ডস-এ একটি প্রশাসনিক নেটওয়ার্ক ভাগ খুলেছি:

net use \\lost_machine_ip\c$

3. তারপরে আমি রিজেডিট খুললাম, এবং ফাইল মেনুতে, "কানেক্ট নেটওয়ার্ক রেজিস্ট্রি" চয়ন করুন এবং "হারিয়ে যাওয়া" সার্ভারের আইপি রেখেছি। আপনার রিমোট সার্ভার রেজিস্ট্রি দেখতে হবে। যাও :

\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

এবং SecurityLayer0 এর মান নির্ধারণ করুন (0 টি আরডিপি সুরক্ষা)।

এরপরে আপনি রিমোট সংযোগ করতে সক্ষম হবেন এবং প্রয়োজনে আইআইএসক্রিপ্টোতে টিএলএস 1.0 পুনরায় সক্ষম করতে পারবেন।

আপনার উইন্ডোজ 7 কম্পিউটার এবং উইন্ডোজ সার্ভার 2008 আর 2 সার্ভারগুলিতে আপনাকে আরডিপি 8.0 ইনস্টল করতে হবে এবং তারপরে স্থানীয় কম্পিউটার নীতি বা গোষ্ঠী নীতিতে আরডিপি 8.0 সক্ষম করতে হবে।

আরডিপি 8.0 এর জন্য মাইক্রোসফ্ট কেবি এখানে রয়েছে। https://support.microsoft.com/en-us/kb/2592687

এটি হয়ে গেলে আপনি এই টেকনেট নিবন্ধে নির্দেশনা অনুযায়ী রেজিস্ট্রি সম্পাদনা করে কম্পিউটার এবং সার্ভারগুলিতে টিএলএস 1.0 অক্ষম করতে সক্ষম হবেন। https://technet.microsoft.com/en-us/library/dn786418.aspx

আরডিপি 8.0 ইনস্টল করার পরে আপনি আরডিপি 8.1 ইনস্টল করতে পারেন তবে আরডিপি 8.1 ইনস্টল করার আগে অবশ্যই আরডিপি 8.0 ইনস্টল করতে হবে। আরডিপি 8.0 এর মধ্যে ক্লায়েন্ট এবং সার্ভার-সাইড প্রোটোকল উভয় উপাদান রয়েছে তবে আরডিপি 8.1 কেবল ক্লায়েন্টকে অন্তর্ভুক্ত করে। আরডিপি 8.1 এর জন্য মাইক্রোসফ্ট কেবি KB2830477।

আমি আমার উইন্ডোজ one ওয়ার্কস্টেশনগুলির মধ্যে একটিতে এই পরিবর্তনগুলি করেছি এবং "রিমোট (আরডিপি) সংযোগগুলির জন্য নির্দিষ্ট সুরক্ষা স্তর ব্যবহারের প্রয়োজন" গ্রুপ নীতি সেটিং সক্ষম করে এবং এটি নিশ্চিত করার জন্য "এসএসএল (টিএলএস ১.০)" এ সেট করে আরডিপি সংযোগগুলি পরীক্ষা করেছি আরডিপি এনক্রিপশনে ফিরে পড়বে না।

আপডেট 6/19/2015:

অবশেষে আমি আমাদের একটি উইন্ডোজ সার্ভার ২০০৮ আর 2 সার্ভারে এটি পরীক্ষা করার সুযোগ পেয়েছি এবং এটি অবশ্যই সার্ভারের সাথে আরডিপি সংযোগগুলি ভঙ্গ করে। দেখে মনে হচ্ছে যে আরডিপি 8.0 সার্ভার-সাইড উপাদানগুলি কেবল উইন্ডোজ 7 কম্পিউটারে ইনস্টলড রয়েছে এবং উইন্ডোজ সার্ভার 2008 আর 2 সার্ভারগুলিতে ইনস্টল হয় না।

সার্ভারে 2012 আর 2 এ রিমোট অ্যাপ্লিকেশনগুলি না ভেঙে টিএলএস 1.0 অক্ষম করার পদ্ধতিতে পোস্ট করা হয়েছে তবে সেই লিঙ্কটি নিরীক্ষণ না করে এমন লোকের সুবিধার্থে এখানে পুনরায় পোস্ট করুন:

প্রায় এক বছর পরে, আমি শেষ পর্যন্ত আরডিপি এবং রিমোট ডেস্কটপ পরিষেবাদি সংযোগটি না ভেঙে এবং রিমোট অ্যাপগুলি চালু না করে টিএলএস 1.0 / 1.1 অক্ষম করার একটি কার্যকরী সমাধান আবিষ্কার করেছি:

আইআইএসক্রিপ্টো চালান এবং টিএলএস 1.0, টিএলএস 1.1 এবং সমস্ত খারাপ সিফার অক্ষম করুন।

গেটওয়ের ভূমিকা পরিচালিত রিমোট ডেস্কটপ পরিষেবাদি সার্ভারে, স্থানীয় সুরক্ষা নীতিটি খুলুন এবং সুরক্ষা বিকল্পগুলিতে নেভিগেট করুন - সিস্টেম ক্রিপ্টোগ্রাফি: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষর করার জন্য ফেয়ারের সাথে সামঞ্জস্যপূর্ণ অ্যালগরিদম ব্যবহার করুন। সক্ষেত্রে সুরক্ষা সেটিংসটি সক্ষম করুন। পরিবর্তনগুলি কার্যকর করতে পুনরায় বুট করুন।

মনে রাখবেন যে কিছু ক্ষেত্রে (বিশেষত সার্ভার 2012 আর 2 এ স্ব স্ব স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে), সুরক্ষা নীতি বিকল্পটি নেটওয়ার্ক সুরক্ষা: ল্যান ম্যানেজার প্রমাণীকরণ স্তরটি কেবলমাত্র এনটিএলএমভি 2 প্রতিক্রিয়া প্রেরণে সেট করতে হবে need

অন্য কেউ যদি তথ্য খোঁজেন তবে এটির জন্য একটি আপডেট। আমার উইন্ডোজ 7 64-বিট বাক্সগুলির জন্য আমাকে KB2574819 (প্রথম) এবং KB2592687 (দ্বিতীয়) উইন্ডোজ 7 ইনস্টল করতে হয়েছিল 2 2 পিকেজি ইনস্টল হওয়ার আগে এসপি 1 ইনস্টল করতে হবে। আমার মতো এসপি 1 ইনস্টল করতে আপনার যদি সমস্যা হয় তবে আমাকে প্রথমে KB958830 আনইনস্টল করতে হয়েছিল, তারপরে এসপি 1 ইনস্টল করুন।

আমার উইন্ডোজ সার্ভার ২০০৮ আর 2 বক্সের জন্য আমাকে KB3080079 ইনস্টল করতে হয়েছিল। আপনি যখন এটিটি করেন এবং সুরক্ষিত যোগাযোগের জন্য সমস্ত উপযুক্ত সেটিংস স্থাপন করা হয়ে যায়, তারপরে এটি টিএলএস 1.2 ব্যবহার করবে আপনি আপনার দুটি বাক্সের মধ্যে যোগাযোগের ক্যাপচার সম্পাদনের জন্য ওয়্যারশার্ক ব্যবহার করে নিশ্চিত করতে পারবেন।

এই সমস্যাটি সমাধান করার জন্য লিনাক্সের জন্য আমি rdesktop ( http://www.rdesktop.org ) সফলভাবে ব্যবহার করেছি ।

একটি কেস বিদ্যমান উত্তরগুলির দ্বারা আচ্ছাদিত নয়: একটি আরডিপি গেটওয়ের মাধ্যমে সংযোগকারী উইন্ডোজ clients ক্লায়েন্টরা গেটওয়ের সাথে সংযোগ করার সময় এখনও টিএলএস 1.0 ব্যবহার করবে এবং এই টেকনেট ফোরামের থ্রেডে পর্যবেক্ষণ অনুসারে , কেবি 3080079 প্রয়োগ করার পরেও গেটওয়ে টিএলএস 1.0 সমর্থন না করে ব্যর্থ হবে fail ।

আরডিপি গেটওয়ের মাধ্যমে সংযোগের জন্য টিএলএস 1.2 ব্যবহার করতে, KB3140245 ইনস্টল করা আছে কিনা তা নিশ্চিত করুন এবং নিম্নলিখিত রেজিস্ট্রি কী যুক্ত করুন ( .regআমদানির জন্য এক্সটেনশন সহ একটি ফাইল সংরক্ষণ করুন ):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

কেবি 314040245 নথি হিসাবে , এটি ডিফল্টরূপেWINHTTP_OPTION_SECURE_PROTOCOLS টিএলএস 1.2 ব্যবহার করতে ওভাররাইড করবে 1.2 সুতরাং সচেতন থাকুন এটি কেবল আরডিপি ক্লায়েন্টের চেয়ে বেশি প্রভাব ফেলবে।

(দ্রষ্টব্য: পিছন-সঙ্গতির পছন্দসই হয়, তাহলে dword:00000800পরিবর্তন করা যাবে dword:00000A00অথবা dword:00000A80যথাক্রমে অন্তর্ভুক্ত করা TLS এর 1.1 এবং 1.0)