Comparteix a través de


Habilitación de TLS 1.2 en los servidores de sitio y los sistemas de sitio remoto

Se aplica a: Configuration Manager (rama actual)

Al habilitar TLS 1.2 para el entorno de Configuration Manager, comience primero con la habilitación de TLS 1.2 para los clientes . A continuación, habilite TLS 1.2 en los servidores de sitio y los sistemas de sitio remotos en segundo lugar. Por último, pruebe las comunicaciones de cliente a sistema de sitio antes de deshabilitar potencialmente los protocolos anteriores en el lado servidor. Las siguientes tareas son necesarias para habilitar TLS 1.2 en los servidores de sitio y los sistemas de sitio remoto:

  • Asegúrese de que TLS 1.2 está habilitado como protocolo para SChannel en el nivel de sistema operativo
  • Actualice y configure .NET Framework para que admita TLS 1.2
  • Actualización de sql server y componentes de cliente
  • Actualización de Windows Server Update Services (WSUS)

Para obtener más información sobre las dependencias de características y escenarios específicos de Configuration Manager, consulte Acerca de la habilitación de TLS 1.2.

Asegúrese de que TLS 1.2 está habilitado como protocolo para SChannel en el nivel de sistema operativo

En su mayor parte, el uso del protocolo se controla en tres niveles, el nivel del sistema operativo, el nivel de plataforma o plataforma y el nivel de aplicación. TLS 1.2 está habilitado de forma predeterminada en el nivel de sistema operativo. Una vez que se haya asegurado de que los valores del Registro de .NET están establecidos para habilitar TLS 1.2 y comprobar que el entorno usa TLS 1.2 correctamente en la red, es posible que desee editar la clave del SChannel\Protocols Registro para deshabilitar los protocolos más antiguos y menos seguros. Para obtener más información sobre cómo deshabilitar TLS 1.0 y 1.1, vea Configuración de protocolos Schannel en el Registro de Windows.

Actualice y configure .NET Framework para que admita TLS 1.2

Determinación de la versión de .NET

En primer lugar, determine las versiones de .NET instaladas. Para más información, vea Determinar las versiones y los niveles de Service Pack de Microsoft .NET Framework instalados.

Instalar actualizaciones de .NET

Instale las actualizaciones de .NET para que pueda habilitar la criptografía segura. Es posible que algunas versiones de .NET Framework requieran actualizaciones para habilitar la criptografía segura. Use estas instrucciones:

  • NET Framework 4.6.2 y versiones posteriores admiten TLS 1.1 y TLS 1.2. Confirme la configuración del Registro, pero no se requieren cambios adicionales.

    Nota:

    A partir de la versión 2107, Configuration Manager requiere Microsoft .NET Framework versión 4.6.2 para servidores de sitio, sistemas de sitio específicos, clientes y la consola. Si es posible en su entorno, instale la versión más reciente de .NET versión 4.8.

  • Actualice NET Framework 4.6 y versiones anteriores para admitir TLS 1.1 y TLS 1.2. Para obtener más información, vea Versiones y dependencias de .NET Framework.

  • Si usa .NET Framework 4.5.1 o 4.5.2 en Windows 8.1, Windows Server 2012 R2 o Windows Server 2012, se recomienda encarecidamente instalar las actualizaciones de seguridad más recientes para .Net Framework 4.5.1 y 4.5.2 para garantizar que TLS 1.2 se pueda habilitar correctamente.

    Como referencia, TLS 1.2 se introdujo por primera vez en .Net Framework 4.5.1 y 4.5.2 con los siguientes paquetes acumulativos de revisiones:

Configuración para criptografía segura

Configure .NET Framework para admitir criptografía segura. Establezca la configuración del SchUseStrongCrypto Registro en DWORD:00000001. Este valor deshabilita el cifrado de secuencias RC4 y requiere un reinicio. Para obtener más información sobre esta configuración, consulte Microsoft Security Advisory 296038.

Asegúrese de establecer las siguientes claves del Registro en cualquier equipo que se comunique a través de la red con un sistema habilitado para TLS 1.2. Por ejemplo, los clientes de Configuration Manager, los roles de sistema de sitio remoto no instalados en el servidor de sitio y el propio servidor de sitio.

Para aplicaciones de 32 bits que se ejecutan en sistemas operativos de 32 bits y para aplicaciones de 64 bits que se ejecutan en sistemas operativos de 64 bits, actualice los siguientes valores de subclave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Para aplicaciones de 32 bits que se ejecutan en SO de 64 bits, actualice los siguientes valores de subclave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Nota:

La SchUseStrongCrypto configuración permite a .NET usar TLS 1.1 y TLS 1.2. La SystemDefaultTlsVersions configuración permite que .NET use la configuración del sistema operativo. Para obtener más información, consulte Procedimientos recomendados de TLS con .NET Framework.

Actualización de sql server y componentes de cliente

Microsoft SQL Server 2016 y versiones posteriores admiten TLS 1.1 y TLS 1.2. Las versiones anteriores y las bibliotecas dependientes pueden requerir actualizaciones. Para obtener más información, vea KB 3135244: compatibilidad de TLS 1.2 con Microsoft SQL Server.

Los servidores de sitio secundarios deben usar al menos SQL Server 2016 Express con Service Pack 2 (13.2.50.26) o posterior.

SQL Server Native Client

Nota:

KB 3135244 también describe los requisitos de los componentes de cliente de SQL Server.

Asegúrese de actualizar también SQL Server Native Client a al menos la versión SQL Server 2012 SP4 (11.*.7001.0). Este requisito es una comprobación de requisitos previos (advertencia).

Configuration Manager usa SQL Server Native Client en los siguientes roles de sistema de sitio:

  • Servidor de base de datos de sitio
  • Servidor de sitio: sitio de administración central, sitio primario o sitio secundario
  • Punto de administración
  • Punto de administración de dispositivos
  • Punto de migración de estado
  • Proveedor de SMS
  • Punto de actualización de software
  • Punto de distribución habilitado para multidifusión
  • Punto de servicio de actualización de Asset Intelligence
  • Punto de Reporting Services
  • Punto de inscripción
  • Punto de Endpoint Protection
  • Punto de conexión de servicio
  • Punto de registro de certificados
  • Punto de servicio de almacenamiento de datos

Habilitación de TLS 1.2 a escala mediante Automanage Machine Configuration y Azure Arc

Configura automáticamente TLS 1.2 en el cliente y el servidor para las máquinas que se ejecutan en entornos de Azure, locales o en varias nubes. Para empezar a configurar TLS 1.2 en las máquinas, conéctelos a Azure mediante servidores habilitados para Azure Arc, lo que incluye el requisito previo de Machine Configuration de forma predeterminada. Una vez conectado, TLS 1.2 se puede configurar con simplicidad de punto y clic implementando la definición de directiva integrada en Azure Portal: Configurar protocolos de comunicación seguros (TLS 1.1 o TLS 1.2) en servidores Windows. El ámbito de la directiva se puede asignar en el nivel de suscripción, grupo de recursos o grupo de administración, así como excluir cualquier recurso de la definición de directiva.

Una vez asignada la configuración, el estado de cumplimiento de los recursos se puede ver con detalle; para ello, vaya a la página Asignaciones de invitados y desplácese hacia abajo hasta los recursos afectados.

Para obtener un tutorial detallado paso a paso, consulte Actualización coherente del protocolo TLS del servidor mediante Azure Arc y Automanage Machine Configuration.

Actualización de Windows Server Update Services (WSUS)

TLS 1.2 es compatible de forma predeterminada con WSUS en todas las versiones compatibles actualmente de Windows Server.

Para admitir TLS 1.2 en versiones anteriores de WSUS, instale la siguiente actualización en el servidor WSUS:

  • Para el servidor WSUS que ejecuta Windows Server 2012, instale la actualización 4022721 o una actualización de acumulación posterior.

  • Para el servidor WSUS que ejecuta Windows Server 2012 R2, instale la actualización 4022720 o una actualización de acumulación posterior.

Nota:

El 10 de octubre de 2023, Windows Server 2012 y Windows Server 2012 R2 entraron en la fase de actualizaciones de soporte extendido. Microsoft ya no proporcionará compatibilidad con los servidores o roles de sitio de Configuration Manager instalados en estos sistemas operativos. Para obtener más información, consulte Actualizaciones de seguridad extendidas y Configuration Manager.

Pasos siguientes