![Windows、IIS、远程桌面:禁用 SSL 的不安全密码后,我无法使用远程桌面登录](https://linux22.com/image/710276/Windows%E3%80%81IIS%E3%80%81%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%EF%BC%9A%E7%A6%81%E7%94%A8%20SSL%20%E7%9A%84%E4%B8%8D%E5%AE%89%E5%85%A8%E5%AF%86%E7%A0%81%E5%90%8E%EF%BC%8C%E6%88%91%E6%97%A0%E6%B3%95%E4%BD%BF%E7%94%A8%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E7%99%BB%E5%BD%95%20.png)
在设置 HTTPS 网站的过程中以及在其最佳实践中,我首先禁用了 ssl v3(这没有问题),然后我禁用了较旧的不安全密码并仅启用:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
但是,执行此操作后,我无法再通过远程桌面登录。可能是某些密码不兼容?RD 客户端在 Windows XP 上,服务器是 Windows 2012 R2。我该如何解决这个问题?我不想为 IIS 重新启用较旧的不安全密码。
先感谢您
答案1
旧版本的 RDP 不支持 TLS 1.0 以上的任何版本。Windows 7 和 Windows Server 2008 R2 有一个补丁这里。Windows 2012 支持此 OOTB。在 Windows 8.1 之后的版本中,TLS 1.1 和 TLS 1.2 默认启用。Windows XP 已停用,没有补丁。因此,如果您在服务器端禁用 TLS 1.0,则无法连接 Windows XP 客户端。
答案2
除了保持 TLS 1.0 启用之外,如果您必须从 XP 客户端通过 RDP 连接到服务器,您还需要启用 3DES。
但这是错误的答案,正确的答案是使用最新的、安全的和受支持的客户端操作系统;目前是 Windows 7 或更新版本。
如今,除了极度特殊的情况外,任何人都不应使用 Windows XP,在这种情况下,机器应隔离。您当然不应该使用它来管理 Web 服务器!