Sdílet prostřednictvím

Jak povolit protokol TLS 1.2 na serverech lokality a vzdálených systémech lokality

  • Článek

Platí pro: Configuration Manager (Current Branch)

Při povolování protokolu TLS 1.2 pro prostředí nástroje Configuration Manager začněte tím, že pro klienty nejprve povolíte protokol TLS 1.2 . Potom na serverech lokality a vzdálených systémech lokality povolte protokol TLS 1.2. Nakonec otestujte komunikaci mezi klientem a systémem lokality před potenciálně zakázáním starších protokolů na straně serveru. K povolení protokolu TLS 1.2 na serverech lokality a vzdálených systémech lokality jsou potřeba následující úlohy:

  • Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
  • Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2
  • Aktualizace SQL Serveru a klientských komponent
  • Aktualizace služby Windows Server Update Services (WSUS)

Další informace o závislostech pro konkrétní funkce a scénáře nástroje Configuration Manager najdete v tématu Povolení protokolu TLS 1.2.

Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.

Ve většině případů se využití protokolu řídí na třech úrovních: na úrovni operačního systému, na úrovni architektury nebo platformy a na úrovni aplikace. Protokol TLS 1.2 je ve výchozím nastavení povolený na úrovni operačního systému. Jakmile ověříte, že jsou hodnoty registru .NET nastavené tak, aby povolují protokol TLS 1.2, a ověříte, že prostředí správně využívá protokol TLS 1.2 v síti, můžete upravit SChannel\Protocols klíč registru a zakázat starší, méně zabezpečené protokoly. Další informace o zakázání protokolů TLS 1.0 a 1.1 najdete v tématu Konfigurace protokolů Schannel v registru systému Windows.

Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2

Určení verze .NET

Nejprve určete nainstalované verze rozhraní .NET. Další informace najdete v tématu Určení nainstalovaných verzí a úrovní aktualizací Service Pack rozhraní .NET Framework.

Instalace aktualizací .NET

Nainstalujte aktualizace .NET, abyste mohli povolit silnou kryptografii. Některé verze rozhraní .NET Framework můžou vyžadovat aktualizace, aby bylo možné povolit silnou kryptografii. Postupujte podle těchto pokynů:

  • NET Framework 4.6.2 a novější podporuje protokoly TLS 1.1 a TLS 1.2. Potvrďte nastavení registru, ale nejsou potřeba žádné další změny.

    Poznámka

    Od verze 2107 vyžaduje Configuration Manager rozhraní Microsoft .NET Framework verze 4.6.2 pro servery lokality, konkrétní systémy lokality, klienty a konzolu. Pokud je to ve vašem prostředí možné, nainstalujte nejnovější verzi rozhraní .NET verze 4.8.

  • Aktualizujte NET Framework 4.6 a starší verze tak, aby podporovaly protokoly TLS 1.1 a TLS 1.2. Další informace najdete v tématu Verze a závislosti rozhraní .NET Framework.

  • Pokud používáte rozhraní .NET Framework 4.5.1 nebo 4.5.2 ve Windows 8.1, Windows Server 2012 R2 nebo Windows Server 2012, důrazně doporučujeme nainstalovat nejnovější aktualizace zabezpečení pro rozhraní .Net Framework 4.5.1 a 4.5.2, abyste zajistili správné povolení protokolu TLS 1.2.

    Pro referenci byl protokol TLS 1.2 poprvé zaveden v rozhraní .Net Framework 4.5.1 a 4.5.2 s následujícími kumulativními opravami hotfix:

Konfigurace pro silnou kryptografii

Nakonfigurujte rozhraní .NET Framework tak, aby podporovalo silnou kryptografii. Nastavení registru nastavte SchUseStrongCrypto na DWORD:00000001. Tato hodnota zakáže šifru streamu RC4 a vyžaduje restartování. Další informace o tomto nastavení najdete v tématu Poradce společnosti Microsoft 296038 zabezpečení.

Nezapomeňte nastavit následující klíče registru na všech počítačích, které komunikují přes síť pomocí systému s povoleným protokolem TLS 1.2. Například klienti nástroje Configuration Manager, vzdálené role systému lokality nenainstalované na serveru lokality a samotný server lokality.

V případě 32bitových aplikací, které běží na 32bitových operačních systémech, a 64bitových aplikací, které běží na 64bitových operačních systémech, aktualizujte následující hodnoty podklíčů:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

U 32bitových aplikací, které běží v 64bitových operačních systému, aktualizujte následující hodnoty podklíčů:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Poznámka

Nastavení SchUseStrongCrypto umožňuje rozhraní .NET používat protokoly TLS 1.1 a TLS 1.2. Nastavení SystemDefaultTlsVersions umožňuje rozhraní .NET používat konfiguraci operačního systému. Další informace najdete v tématu Osvědčené postupy protokolu TLS s rozhraním .NET Framework.

Aktualizace SQL Serveru a klientských komponent

Microsoft SQL Server 2016 a novější podporuje protokoly TLS 1.1 a TLS 1.2. Starší verze a závislé knihovny můžou vyžadovat aktualizace. Další informace najdete v článku KB 3135244: Podpora protokolu TLS 1.2 pro Microsoft SQL Server.

Servery sekundární lokality musí používat alespoň SQL Server 2016 Express s aktualizací Service Pack 2 (13.2.50.26) nebo novější.

SQL Server Native Client

Poznámka

KB 3135244 také popisuje požadavky na součásti klienta SQL Serveru.

Nezapomeňte také aktualizovat nativního klienta SQL Serveru na minimálně verzi SQL Serveru 2012 SP4 (11.*.7001.0). Tento požadavek je kontrola předpokladů (upozornění).

Nástroj Configuration Manager používá nativního klienta SQL Serveru v následujících rolích systému lokality:

  • Server databáze lokality
  • Server lokality: lokalita centrální správy, primární lokalita nebo sekundární lokalita
  • Bod správy
  • Bod správy zařízení
  • Bod migrace stavu
  • Poskytovatel serveru SMS
  • Bod aktualizace softwaru
  • Distribuční bod s povoleným vícesměrovým vysíláním
  • Bod služby Aktualizace funkce Asset Intelligence
  • Bod služby Reporting Services
  • Bod registrace
  • Bod ochrany koncového bodu
  • Spojovací bod služby
  • Bod registrace certifikátu
  • Bod služby datového skladu

Povolení protokolu TLS 1.2 ve velkém s využitím služby Automanage Machine Configuration a Azure Arc

Automaticky konfiguruje protokol TLS 1.2 v rámci klienta i serveru pro počítače spuštěné v Azure, místním nebo vícecloudovém prostředí. Pokud chcete začít konfigurovat protokol TLS 1.2 napříč počítači, připojte je k Azure pomocí serverů s podporou Služby Azure Arc, které jsou ve výchozím nastavení součástí předpokladu Konfigurace počítače. Po připojení je možné protokol TLS 1.2 nakonfigurovat s jednoduchostí ukazovávání a kliknutí nasazením integrované definice zásad na webu Azure Portal: Konfigurace zabezpečených komunikačních protokolů (TLS 1.1 nebo TLS 1.2) na serverech Windows. Obor zásad je možné přiřadit na úrovni předplatného, skupiny prostředků nebo skupiny pro správu a také vyloučit všechny prostředky z definice zásad.

Po přiřazení konfigurace můžete podrobně zobrazit stav dodržování předpisů vašich prostředků tak, že přejdete na stránku Přiřazení hostů a přejdete dolů na ovlivněné prostředky.

Podrobný kurz najdete v tématu Konzistentní upgrade protokolu TLS serveru pomocí Azure Arc a konfigurace počítače automanage.

Aktualizace služby Windows Server Update Services (WSUS)

Protokol TLS 1.2 se ve výchozím nastavení podporuje pro službu WSUS ve všech aktuálně podporovaných verzích Windows Serveru.

Pokud chcete podporovat protokol TLS 1.2 ve starších verzích služby WSUS, nainstalujte na server WSUS následující aktualizaci:

  • Pro server WSUS se systémem Windows Server 2012 nainstalujte aktualizaci 4022721 nebo novější kumulativní aktualizaci.

  • Pro server WSUS se systémem Windows Server 2012 R2 nainstalujte aktualizaci 4022720 nebo novější kumulativní aktualizaci.

Poznámka

10. října 2023 přešly Windows Server 2012 a Windows Server 2012 R2 do fáze rozšířených aktualizací podpory. Společnost Microsoft už nebude poskytovat podporu pro servery lokality nástroje Configuration Manager nebo role nainstalované v těchto operačních systémech. Další informace najdete v tématech Rozšířené aktualizace zabezpečení a Configuration Manager.

Další kroky