Aktivieren von TLS 1.2
Gilt für: Configuration Manager (aktueller Branch)
Transport Layer Security (TLS) ist wie Secure Sockets Layer (SSL) ein Verschlüsselungsprotokoll, das die Sicherheit von Daten bei der Übertragung über ein Netzwerk gewährleisten soll. In diesen Artikeln werden schritte beschrieben, die erforderlich sind, um sicherzustellen, dass Configuration Manager sichere Kommunikation das TLS 1.2-Protokoll verwendet. In diesen Artikeln werden auch Updateanforderungen für häufig verwendete Komponenten und die Problembehandlung für häufige Probleme beschrieben.
Aktivieren von TLS 1.2
Configuration Manager setzt für die sichere Kommunikation auf viele verschiedene Komponenten. Das Protokoll, das für eine bestimmte Verbindung verwendet wird, hängt von den Funktionen der relevanten Komponenten auf Client- und Serverseite ab. Wenn eine Komponente veraltet oder nicht ordnungsgemäß konfiguriert ist, verwendet die Kommunikation möglicherweise ein älteres, weniger sicheres Protokoll. Um Configuration Manager ordnungsgemäß für die Unterstützung von TLS 1.2 für die gesamte sichere Kommunikation zu aktivieren, müssen Sie TLS 1.2 für alle erforderlichen Komponenten aktivieren. Die erforderlichen Komponenten hängen von Ihrer Umgebung und den Configuration Manager Features ab, die Sie verwenden.
Wichtig
Starten Sie diesen Prozess mit den Clients, insbesondere mit früheren Versionen von Windows. Bevor Sie TLS 1.2 aktivieren und die älteren Protokolle auf den Configuration Manager Servern deaktivieren, stellen Sie sicher, dass alle Clients TLS 1.2 unterstützen. Andernfalls können die Clients nicht mit den Servern kommunizieren und verwaist sein.
Aufgaben für Configuration Manager Clients, Standortserver und Remotestandortsysteme
Um TLS 1.2 für Komponenten zu aktivieren, von denen Configuration Manager für die sichere Kommunikation abhängt, müssen Sie mehrere Aufgaben sowohl auf den Clients als auch auf den Standortservern ausführen.
Aktivieren von TLS 1.2 für Configuration Manager Clients
- Aktualisieren von Windows und WinHTTP auf Windows 8.0, Windows Server 2012 (nicht R2) und früher
- Stellen Sie sicher, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist.
- Aktualisieren und Konfigurieren der .NET Framework zur Unterstützung von TLS 1.2
Aktivieren von TLS 1.2 für Configuration Manager Standortserver und Remotestandortsysteme
- Stellen Sie sicher, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist.
- Aktualisieren und Konfigurieren der .NET Framework zur Unterstützung von TLS 1.2
- Aktualisieren von SQL Server und der SQL Server Native Client
- Update Windows Server Update Services (WSUS)
Features und Szenarioabhängigkeiten
In diesem Abschnitt werden die Abhängigkeiten für bestimmte Configuration Manager Features und Szenarien beschrieben. Um die nächsten Schritte zu bestimmen, suchen Sie die Elemente, die für Ihre Umgebung gelten.
| Feature oder Szenario | Aktualisieren von Vorgängen |
|---|---|
| Standortserver (zentral, primär oder sekundär) |
-
.NET Framework aktualisieren – Überprüfen der Einstellungen für starke Kryptografie |
| Standortdatenbankserver | Aktualisieren SQL Server und der zugehörigen Clientkomponenten |
| Sekundäre Standortserver | Aktualisieren SQL Server und der zugehörigen Clientkomponenten auf eine kompatible Version von SQL Server Express |
| Standortsystemrollen |
-
Aktualisieren .NET Framework und Überprüfen starker Kryptografieeinstellungen - Aktualisieren SQL Server und der zugehörigen Clientkomponenten für Rollen, die dies erfordern, einschließlich der SQL Server Native Client |
| Reporting Services-Punkt |
-
Aktualisieren sie .NET Framework auf dem Standortserver, den SQL Server Reporting Services-Servern und allen Computern mit der -Konsole. – Starten Sie den SMS_Executive-Dienst nach Bedarf neu. |
| Softwareupdatepunkt | WSUS aktualisieren |
| Cloudverwaltungsgateway | Erzwingen von TLS 1.2 |
| Configuration Manager-Konsole |
-
.NET Framework aktualisieren – Überprüfen der Einstellungen für starke Kryptografie |
| Configuration Manager-Client mit HTTPS-Standortsystemrollen | Aktualisieren von Windows zur Unterstützung von TLS 1.2 für die Client-Server-Kommunikation mithilfe von WinHTTP |
| Softwarecenter |
-
.NET Framework aktualisieren – Überprüfen der Einstellungen für starke Kryptografie |
| Windows 7-Clients | Bevor Sie TLS 1.2 für Serverkomponenten aktivieren, aktualisieren Sie Windows, um TLS 1.2 für die Client-Server-Kommunikation mithilfe von WinHTTP zu unterstützen. Wenn Sie TLS 1.2 zuerst für Serverkomponenten aktivieren, können Sie frühere Versionen von Clients verwaisten. |
Häufig gestellte Fragen
Gründe für die Verwendung von TLS 1.2 mit Configuration Manager
TLS 1.2 ist sicherer als die vorherigen kryptografischen Protokolle wie SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1. Im Wesentlichen sorgt TLS 1.2 dafür, dass Daten, die über das Netzwerk übertragen werden, sicherer werden.
Wo verwenden Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2?
Es gibt im Wesentlichen fünf Bereiche, in denen Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2 verwenden:
- Clientkommunikation mit IIS-basierten Standortserverrollen, wenn die Rolle für die Verwendung von HTTPS konfiguriert ist. Beispiele für diese Rollen sind Verteilungspunkte, Softwareupdatepunkte und Verwaltungspunkte.
- Verwaltungspunkt-, SMS Executive- und SMS-Anbieterkommunikation mit SQL. Configuration Manager verschlüsselt immer SQL Server Kommunikation.
- Kommunikation zwischen Standortserver und WSUS, wenn WSUS für die Verwendung von HTTPS konfiguriert ist.
- Die Configuration Manager Konsole zum SQL Server Reporting Services (SSRS), wenn SSRS für die Verwendung von HTTPS konfiguriert ist.
- Alle Verbindungen mit internetbasierten Diensten. Beispiele hierfür sind das Cloudverwaltungsgateway (CLOUD Management Gateway, CMG), die Dienstverbindungspunktsynchronisierung und die Synchronisierung von Updatemetadaten aus Microsoft Update.
Was bestimmt, welches Verschlüsselungsprotokoll verwendet wird?
HTTPS verhandelt immer die höchste Protokollversion, die sowohl vom Client als auch vom Server in einer verschlüsselten Konversation unterstützt wird. Beim Herstellen einer Verbindung sendet der Client eine Nachricht mit dem höchsten verfügbaren Protokoll an den Server. Wenn der Server dieselbe Version unterstützt, sendet er eine Nachricht mit dieser Version. Diese ausgehandelte Version ist die Version, die für die Verbindung verwendet wird. Wenn der Server die vom Client bereitgestellte Version nicht unterstützt, wird in der Servermeldung die höchste Version angegeben, die er verwenden kann. Weitere Informationen zum TLS-Handshakeprotokoll finden Sie unter Einrichten einer sicheren Sitzung mithilfe von TLS.
Was bestimmt, welche Protokollversion der Client und Server verwenden können?
Im Allgemeinen können die folgenden Elemente bestimmen, welche Protokollversion verwendet wird:
- Die Anwendung kann diktieren, welche spezifischen Protokollversionen ausgehandelt werden sollen.
- Bewährte Methode schreibt vor, die Hartcodierung bestimmter Protokollversionen auf Anwendungsebene zu vermeiden und die auf Komponenten- und Betriebssystemprotokollebene definierte Konfiguration zu befolgen.
- Configuration Manager folgt dieser bewährten Methode.
- Bei Anwendungen, die mit dem .NET Framework geschrieben wurden, hängen die Standardprotokollversionen von der Version des Frameworks ab, auf dem sie kompiliert wurden.
- .NET-Versionen vor 4.6.3 enthielten TLS 1.1 und 1.2 standardmäßig nicht in der Liste der Protokolle für die Aushandlung.
- Anwendungen, die WinHTTP für die HTTPS-Kommunikation verwenden, wie der Configuration Manager-Client, hängen von der Betriebssystemversion, der Patchebene und der Konfiguration für die Unterstützung der Protokollversion ab.
Zusätzliche Ressourcen
- Technische Referenz zu kryptografischen Steuerelementen
- Bewährte Methoden für transport layer security (TLS) mit dem .NET Framework
- KB-3135244: TLS 1.2-Unterstützung für Microsoft SQL Server