Terminal Services With FIPS Compliant Encryption Level

TS with FIPS Compliant Level

En las propiedades de configuración del RDP-Tcp de un servidor Windows podemos encontrar 4 niveles diferentes de encriptación.  Low, Client Compatible, High i FIPS Compliant.

Cada uno de estos niveles tiene sus requisitos de cara a que clientes y como se puede conectar. En el caso concreto de FIPS, si el servidor lo tiene activado solo los clientes con versiones RDP 5.2 o superior se podrán conectar a él.

Sobre esta restricción podemos leer en http://support.microsoft.com/?id=811770 .

¿De donde podemos obtener el cliente 5.2?

Existen dos posibilidades,

  • nos lo descargamos desde la web de Microsoft,

http://www.microsoft.com/downloads/details.aspx?FamilyID=a8255ffc-4b4a-40e7-a706-cde7e9b57e79&displaylang=en

  • bien nos copiamos el instalable (msi) directamente desde el servidor,

%systemroot%\system32\client\tsclient\win32\msrdpcli.msi

Como literatura sobre Terminal Server dejo aquí este link del Technet de Microsoft.

Terminal Services

http://technet2.microsoft.com/windowsserver/en/library/c8788dd5-5fae-453e-84df-efdd1dce8f5a1033.mspx?mfr=true

Configuring authentication and encryption

http://technet2.microsoft.com/windowsserver/en/library/a92d8eb9-f53d-4e86-ac9b-29fd6146977b1033.mspx?mfr=true

Espero que esta información aunque condensada pueda ser útil a alguien más, como a mi cuando la necesité y tube que buscarla.

Hasta la próxima.

OnlyIT

Enable Kerberos Debug

The instructions to enable the Kerberos Debug

1. Click Start, click Run, type regedit.exe and then press Enter

2. Open the following registry key:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\kerberos\Parameters

3. Create the following entry:

Value:KerbDebugLevel
Type: DWORD
Data: c0000043 (this value will print the most standard set of debug messages)

4.  Create the following entry in the same registry location:

Value:LogToFile
Type: DWORD
Data:1

5. Restart the computer

6. Leave the machine 1 day to collect enough information to analyze

7. The file called lsass.log will create under \Windows\System32

OnlyIT