如何在Windows 2012 RDP中禁用TLS 1.0

背景：我唯一能找到的方法是与Windows 2008上的RDP有关，RDP在管理工具中似乎有一个名为“远程桌面会话主机配置”的东西。Windows 2012中不存在此功能，现在似乎也可以通过MMC添加它。我在这里阅读了2008年的内容，使用RDS主机配置，您可以关闭它。

问题： 因此，在Windows 2012中，如何关闭TLS 1.0，但仍能够将RDP转换为Windows 2012服务器？

最初，我的理解是Win2012 RDP仅支持TLS 1.0。但是，不再允许使用基于PCI的TLS 1.0。根据本文，这应该是针对Windows Server 2008r2修复的。但是，这不能解决Server 2012，后者甚至没有管理GUI设备来更改我所知道的RDP将使用的协议。

禁用TLS是系统范围的注册表设置：

https://technet.microsoft.com/zh-CN/library/dn786418.aspx#BKMK_SchannelTR_TLS10

Key: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server  
Value: Enabled  
Value type: REG_DWORD
Value Data: 0  

此外，禁用早期TLS的PCI要求直到2016年6月30日才生效。

我知道Internet Explorer是一种产品，它具有TLS / SSL加密设置的单独配置选项。可能还有其他。

我有一台禁用了TLS 1.0的Windows 2012 R2服务器，可以将其远程桌面。

如果您想知道，下面是安装了KB3080079的Windows 2008 R2服务器上tsconfig.msc的屏幕截图。没什么可配置的，因为更新所做的唯一一件事就是增加了对其他两个TLS加密级别的支持，因此禁用TLS 1.0时，它可以继续工作。

如果禁用TLS 1.0并希望RDP继续工作，则必须使用本地组策略编辑器在“计算机配置\管理模板\ Windows \组件\远程桌面服务\远程桌面会话主机”中为RDP选择“协商”安全层。 \ Security“”要求对远程（RDP）连接使用特定的安全层。并选择“启用”。这也适用于2012R2。

大约一年后，我终于找到了一个可行的解决方案，可以在不破坏RDP和远程桌面服务连接的情况下禁用TLS 1.0 / 1.1。

运行IISCrypto并禁用TLS 1.0，TLS 1.1和所有错误密码。

在运行网关角色的远程桌面服务服务器上，打开“本地安全策略”，然后导航到“安全选项-系统加密”：使用FIPS兼容算法进行加密，散列和签名。将安全设置更改为“已启用”。重新启动以使更改生效。

请注意，在某些情况下（尤其是在Server 2012 R2上使用自签名证书时），可能需要将“安全策略”选项“网络安全：LAN Manager身份验证级别”设置为“仅发送NTLMv2响应”。

让我知道这是否也适用于您。