Povolení protokolu TLS 1.2 na klientech

Platí pro: Configuration Manager (Current Branch)

Při povolování protokolu TLS 1.2 pro prostředí Configuration Manager začněte tím, že se ujistěte, že klienti jsou schopni a správně nakonfigurovaní na používání protokolu TLS 1.2, než povolíte protokol TLS 1.2 a zakážete starší protokoly na serverech lokality a vzdálených systémech lokality. Pro povolení protokolu TLS 1.2 na klientech existují tři úlohy:

• Aktualizace Windows a WinHTTP
• Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
• Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2

Další informace o závislostech pro konkrétní funkce a scénáře Configuration Manager najdete v tématu Povolení protokolu TLS 1.2.

Aktualizace Windows a WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 a novější verze Windows nativně podporují protokol TLS 1.2 pro komunikaci mezi klientem a serverem přes WinHTTP.

Starší verze Windows, například Windows 7 nebo Windows Server 2012, ve výchozím nastavení nepovolují protokol TLS 1.1 nebo TLS 1.2 pro zabezpečenou komunikaci pomocí WinHTTP. Pro tyto starší verze Windows nainstalujte update 3140245 a povolte následující hodnotu registru, která se dá nastavit tak, aby přidala protokoly TLS 1.1 a TLS 1.2 do seznamu výchozích zabezpečených protokolů pro WinHTTP. S nainstalovanou opravou vytvořte následující hodnoty registru:

Důležité

Před povolením protokolu TLS 1.2 a zákazem starších protokolů na serverech Configuration Manager povolte tato nastavení na všech klientech se staršími verzemi Windows. V opačném případě je můžete neúmyslně osamocit.

Ověřte hodnotu DefaultSecureProtocols nastavení registru, například:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Pokud tuto hodnotu změníte, restartujte počítač.

Výše uvedený příklad ukazuje hodnotu 0xAA0 pro nastavení WinHTTP DefaultSecureProtocols . Aktualizace pro povolení protokolů TLS 1.1 a TLS 1.2 jako výchozích zabezpečených protokolů ve WinHTTP ve Windows uvádí šestnáctkové hodnoty pro každý protokol. Ve Windows je tato hodnota ve výchozím nastavení určená 0x0A0 k povolení SSL 3.0 a TLS 1.0 pro WinHTTP. Výše uvedený příklad zachová tyto výchozí hodnoty a také povolí protokoly TLS 1.1 a TLS 1.2 pro WinHTTP. Tato konfigurace zajistí, že změna nenaruší žádnou jinou aplikaci, která by mohla stále spoléhat na PROTOKOL SSL 3.0 nebo TLS 1.0. Hodnotu 0xA00 můžete použít pouze k povolení protokolů TLS 1.1 a TLS 1.2. Configuration Manager podporuje nejbezpečnější protokol, který Systém Windows vyjednává mezi oběma zařízeními.

Pokud chcete protokoly SSL 3.0 a TLS 1.0 úplně zakázat, použijte ve Windows nastavení Zakázané protokoly SChannel. Další informace najdete v tématu Omezení použití určitých kryptografických algoritmů a protokolů v Schannel.dll.

Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.

Ve většině případů se využití protokolu řídí na třech úrovních: na úrovni operačního systému, na úrovni architektury nebo platformy a na úrovni aplikace. Protokol TLS 1.2 je ve výchozím nastavení povolený na úrovni operačního systému. Jakmile ověříte, že jsou hodnoty registru .NET nastavené tak, aby povolují protokol TLS 1.2, a ověříte, že prostředí správně využívá protokol TLS 1.2 v síti, můžete upravit SChannel\Protocols klíč registru a zakázat starší, méně zabezpečené protokoly. Další informace o zakázání protokolů TLS 1.0 a 1.1 najdete v tématu Konfigurace protokolů Schannel v registru systému Windows.

Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2

Určení verze .NET

Nejprve určete nainstalované verze rozhraní .NET. Další informace najdete v tématu Určení nainstalovaných verzí a úrovní aktualizací Service Pack rozhraní .NET Framework.

Instalace aktualizací .NET

Nainstalujte aktualizace .NET, abyste mohli povolit silnou kryptografii. Některé verze rozhraní .NET Framework můžou vyžadovat aktualizace, aby bylo možné povolit silnou kryptografii. Postupujte podle těchto pokynů:

• NET Framework 4.6.2 a novější podporuje protokoly TLS 1.1 a TLS 1.2. Potvrďte nastavení registru, ale nejsou potřeba žádné další změny.

  Poznámka

  Od verze 2107 vyžaduje Configuration Manager Microsoft rozhraní .NET Framework verze 4.6.2 pro servery lokality, konkrétní systémy lokality, klienty a konzolu. Pokud je to ve vašem prostředí možné, nainstalujte nejnovější verzi rozhraní .NET verze 4.8.

• Aktualizujte NET Framework 4.6 a starší verze tak, aby podporovaly protokoly TLS 1.1 a TLS 1.2. Další informace najdete v tématu Verze a závislosti rozhraní .NET Framework.

• Pokud používáte rozhraní .NET Framework 4.5.1 nebo 4.5.2 na Windows 8.1, Windows Server 2012 R2 nebo Windows Server 2012, důrazně doporučujeme nainstalovat nejnovější aktualizace zabezpečení pro rozhraní .Net Framework 4.5.1 a 4.5.2, aby bylo možné správně povolit protokol TLS 1.2.

  Pro referenci byl protokol TLS 1.2 poprvé zaveden do rozhraní .Net Framework 4.5.1 a 4.5.2 s následujícími kumulativními opravami hotfix:

  • Pro Windows 8.1 a Server 2012 R2: Kumulativní 3099842 oprav hotfix
  • Pro Windows Server 2012: Kumulativní 3099844 oprav hotfix

Konfigurace pro silnou kryptografii

Nakonfigurujte rozhraní .NET Framework tak, aby podporovalo silnou kryptografii. Nastavení registru nastavte SchUseStrongCrypto na DWORD:00000001. Tato hodnota zakáže šifru streamu RC4 a vyžaduje restartování. Další informace o tomto nastavení najdete v tématu Microsoft Poradce pro zabezpečení 296038.

Nezapomeňte nastavit následující klíče registru na všech počítačích, které komunikují přes síť pomocí systému s povoleným protokolem TLS 1.2. Například Configuration Manager klienty, vzdálené role systému lokality nenainstalované na serveru lokality a samotný server lokality.

V případě 32bitových aplikací, které běží na 32bitových operačních systémech, a 64bitových aplikací spuštěných v 64bitových operačních systému aktualizujte následující hodnoty podklíčů:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

U 32bitových aplikací, které běží v 64bitových operačních systému, aktualizujte následující hodnoty podklíčů:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Poznámka

Nastavení SchUseStrongCrypto umožňuje rozhraní .NET používat protokoly TLS 1.1 a TLS 1.2. Nastavení SystemDefaultTlsVersions umožňuje rozhraní .NET používat konfiguraci operačního systému. Další informace najdete v tématu Osvědčené postupy protokolu TLS s rozhraním .NET Framework.

Další kroky

• Povolení protokolu TLS 1.2 na serverech lokality a vzdálených systémech lokality
• Běžné problémy při povolování protokolu TLS 1.2