iT邦幫忙

0

加密套件設定和RDP拒絕連接

在一台Windows 2016上, 依據TLS與加密套件設定
只保留TLS 1.1/1.2, 沒有問題, 但要去掉CBC類加密套件時, 用gpedit.msc, 在[電腦設定][系統管理範本][網路][SSL 組態設定][SSL 加密套件順序]中設定加密套件為:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
重開機後, 網站不能連: Firefox說PR_CONNECT_RESET_ERROR, Chrome說ERR_CONNECTION_RESET,
糟糕的是RDP出現TLS錯誤,拒絕連接. 我連進同網段另一臺Windows, 用遠端桌面連, 也被拒絕. 我並未修改RDP的安全設定強制使用TLS. 目前只有到現場一途. 或進行系統備份回復.

這四個加密套件用Google搜尋過各類和RDP, TLS, cipher suites, 相關的關鍵字都遍尋不到答案, 有人遇過嗎?

我用IIS Crypto在另一臺Windows上設定, 設定移所有CBC加密套件, 如上用gpedit.msc檢查, 在[電腦設定][系統管理範本][網路][SSL 組態設定][SSL 加密套件順序]看到的是未設定, 用regedit檢查SChannel的設定, ciphersuites只有預設值, IIS上也沒看到, 請問IIS Crypto設定跑到那?

我使用Linux+Nginx設定TLS和加密套件是簡單的事, 只須在設定檔設定就好了, 但在Windows+IIS設定這些卻是如此隱晦分散? RDP還能拒絕連線?

harrytsai iT邦新手 2 級 ‧ 2021-10-18 13:37:21 檢舉
IIS上面有自己的憑證機制,除非你的憑證是透過AD的憑證伺服器發送,否則GPO無法派送
bizpro iT邦大師 1 級 ‧ 2021-10-18 16:53:15 檢舉
感謝您的說明, 看來是我做錯了.
我看了IIS管理介面, 並沒有設定cipher suites的功能.
看來只能用IIS Crypto來設定?
只是IIS不能對個別網站設置個別的TLS版本和Cipher Suites.
對Nginx/Apache等來說, 個別的TLS版本和Cipher Suites跟著個別網站設定, 也可以用include來加入個別的TLS版本和Cipher Suites樣板.

尚未有邦友回答

立即登入回答