Jak povolit protokol TLS 1.2 na serverech lokality a vzdálených systémech lokality
Platí pro: Configuration Manager (Current Branch)
Při povolování protokolu TLS 1.2 pro prostředí Configuration Manager začněte tím, že pro klienty nejprve povolíte protokol TLS 1.2. Potom na serverech lokality a vzdálených systémech lokality povolte protokol TLS 1.2. Nakonec otestujte komunikaci mezi klientem a systémem lokality před potenciálně zakázáním starších protokolů na straně serveru. K povolení protokolu TLS 1.2 na serverech lokality a vzdálených systémech lokality jsou potřeba následující úlohy:
- Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
- Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2
- Aktualizace SQL Server a klientských komponent
- Update Windows Server Update Services (WSUS)
Další informace o závislostech pro konkrétní funkce a scénáře Configuration Manager najdete v tématu Povolení protokolu TLS 1.2.
Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
Ve většině případů se využití protokolu řídí na třech úrovních: na úrovni operačního systému, na úrovni architektury nebo platformy a na úrovni aplikace. Protokol TLS 1.2 je ve výchozím nastavení povolený na úrovni operačního systému. Jakmile ověříte, že jsou hodnoty registru .NET nastavené tak, aby povolují protokol TLS 1.2, a ověříte, že prostředí správně využívá protokol TLS 1.2 v síti, můžete upravit SChannel\Protocols klíč registru a zakázat starší, méně zabezpečené protokoly. Další informace o zakázání protokolů TLS 1.0 a 1.1 najdete v tématu Konfigurace protokolů Schannel v registru systému Windows.
Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2
Určení verze .NET
Nejprve určete nainstalované verze rozhraní .NET. Další informace najdete v tématu Určení nainstalovaných verzí a úrovní aktualizací Service Pack rozhraní .NET Framework.
Instalace aktualizací .NET
Nainstalujte aktualizace .NET, abyste mohli povolit silnou kryptografii. Některé verze rozhraní .NET Framework můžou vyžadovat aktualizace, aby bylo možné povolit silnou kryptografii. Postupujte podle těchto pokynů:
NET Framework 4.6.2 a novější podporuje protokoly TLS 1.1 a TLS 1.2. Potvrďte nastavení registru, ale nejsou potřeba žádné další změny.
Poznámka
Od verze 2107 vyžaduje Configuration Manager rozhraní Microsoft .NET Framework verze 4.6.2 pro servery lokality, konkrétní systémy lokality, klienty a konzolu. Pokud je to ve vašem prostředí možné, nainstalujte nejnovější verzi rozhraní .NET verze 4.8.
Aktualizujte NET Framework 4.6 a starší verze tak, aby podporovaly protokoly TLS 1.1 a TLS 1.2. Další informace najdete v tématu Verze a závislosti rozhraní .NET Framework.
Pokud používáte rozhraní .NET Framework 4.5.1 nebo 4.5.2 na Windows 8.1, Windows Server 2012 R2 nebo Windows Server 2012, důrazně doporučujeme nainstalovat nejnovější aktualizace zabezpečení pro rozhraní .Net Framework 4.5.1 a 4.5.2, aby bylo možné správně povolit protokol TLS 1.2.
Pro referenci byl protokol TLS 1.2 poprvé zaveden do rozhraní .Net Framework 4.5.1 a 4.5.2 s následujícími kumulativními opravami hotfix:
- Pro Windows 8.1 a Server 2012 R2: Kumulativní 3099842 oprav hotfix
- Pro Windows Server 2012: Kumulativní 3099844 oprav hotfix
Konfigurace pro silnou kryptografii
Nakonfigurujte rozhraní .NET Framework tak, aby podporovalo silnou kryptografii. Nastavení registru nastavte SchUseStrongCrypto na DWORD:00000001. Tato hodnota zakáže šifru streamu RC4 a vyžaduje restartování. Další informace o tomto nastavení najdete v tématu Poradce pro zabezpečení společnosti Microsoft 296038.
Nezapomeňte nastavit následující klíče registru na všech počítačích, které komunikují přes síť pomocí systému s povoleným protokolem TLS 1.2. Například Configuration Manager klienty, vzdálené role systému lokality nenainstalované na serveru lokality a samotný server lokality.
V případě 32bitových aplikací, které běží na 32bitových operačních systémech, a 64bitových aplikací spuštěných v 64bitových operačních systému aktualizujte následující hodnoty podklíčů:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
U 32bitových aplikací, které běží v 64bitových operačních systému, aktualizujte následující hodnoty podklíčů:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Poznámka
Nastavení SchUseStrongCrypto umožňuje rozhraní .NET používat protokoly TLS 1.1 a TLS 1.2. Nastavení SystemDefaultTlsVersions umožňuje rozhraní .NET používat konfiguraci operačního systému. Další informace najdete v tématu Osvědčené postupy protokolu TLS s rozhraním .NET Framework.
Aktualizace SQL Server a klientských komponent
Microsoft SQL Server 2016 a novější podporují protokoly TLS 1.1 a TLS 1.2. Starší verze a závislé knihovny můžou vyžadovat aktualizace. Další informace najdete v článku KB 3135244: Podpora protokolu TLS 1.2 pro Microsoft SQL Server.
Servery sekundární lokality musí používat alespoň SQL Server 2016 Express s aktualizací Service Pack 2 (13.2.50.26) nebo novější.
SQL Server Native Client
Poznámka
KB 3135244 také popisuje požadavky na SQL Server klientské komponenty.
Nezapomeňte také aktualizovat SQL Server Native Client alespoň na verzi SQL Server 2012 SP4 (11.*.7001.0). Tento požadavek je kontrola předpokladů (upozornění).
Configuration Manager používá SQL Server Native Client u následujících rolí systému lokality:
- Server databáze lokality
- Server lokality: lokalita centrální správy, primární lokalita nebo sekundární lokalita
- Bod správy
- Bod správy zařízení
- Bod migrace stavu
- Poskytovatel serveru SMS
- Bod aktualizace softwaru
- Distribuční bod s povoleným vícesměrovým vysíláním
- Bod služby Aktualizace funkce Asset Intelligence
- Bod služby Reporting Services
- Bod registrace
- Bod ochrany koncového bodu
- Spojovací bod služby
- Bod registrace certifikátu
- Bod služby datového skladu
Povolení protokolu TLS 1.2 ve velkém s využitím služby Automanage Machine Configuration a Azure Arc
Automaticky konfiguruje protokol TLS 1.2 v rámci klienta i serveru pro počítače spuštěné v Azure, místním prostředí nebo více cloudech. Pokud chcete začít konfigurovat protokol TLS 1.2 napříč počítači, připojte je k Azure pomocí serverů s podporou Služby Azure Arc, které jsou ve výchozím nastavení součástí předpokladu Konfigurace počítače. Po připojení je možné protokol TLS 1.2 nakonfigurovat s jednoduchostí ukazovávání a kliknutí nasazením integrované definice zásad na webu Azure Portal: Konfigurace zabezpečených komunikačních protokolů (TLS 1.1 nebo TLS 1.2) na serverech Windows. Obor zásad je možné přiřadit na úrovni předplatného, skupiny prostředků nebo skupiny pro správu a také vyloučit všechny prostředky z definice zásad.
Po přiřazení konfigurace můžete podrobně zobrazit stav dodržování předpisů vašich prostředků tak, že přejdete na stránku Přiřazení hostů a přejdete dolů na ovlivněné prostředky.
Podrobný kurz najdete v tématu Konzistentní upgrade protokolu TLS serveru pomocí Azure Arc a konfigurace počítače automanage.
Update Windows Server Update Services (WSUS)
Pokud chcete podporovat protokol TLS 1.2 ve starších verzích služby WSUS, nainstalujte na server WSUS následující aktualizaci:
Pro server WSUS, na kterém běží Windows Server 2012, nainstalujte 4022721 aktualizace nebo novější kumulativní aktualizaci.
Pro server WSUS se systémem Windows Server 2012 R2 nainstalujte aktualizaci 4022720 nebo novější kumulativní aktualizaci.
Od Windows Server 2016 se ve výchozím nastavení podporuje protokol TLS 1.2 pro službu WSUS. Aktualizace protokolu TLS 1.2 jsou potřeba jenom na serverech WSUS Windows Server 2012 a Windows Server 2012 R2.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro