Aktivieren von TLS 1.2 auf Clients
Gilt für: Configuration Manager (aktueller Branch)
Wenn Sie TLS 1.2 für Ihre Configuration Manager-Umgebung aktivieren, stellen Sie zunächst sicher, dass die Clients für die Verwendung von TLS 1.2 fähig und richtig konfiguriert sind, bevor Sie TLS 1.2 aktivieren und die älteren Protokolle auf den Siteservern und Remotesitesystemen deaktivieren. Es gibt drei Aufgaben zum Aktivieren von TLS 1.2 auf Clients:
- Windows und WinHTTP aktualisieren
- Sicherstellen, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist
- .NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
Weitere Informationen zu Abhängigkeiten für bestimmte Configuration Manager- Funktionen und -Szenarien finden Sie unter Informationen zum Aktivieren von TLS 1.2.
Windows und WinHTTP aktualisieren
Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 und höhere Versionen von Windows unterstützen nativ TLS 1.2 für die Clientserverkommunikation über WinHTTP.
Bei frühere Versionen von Windows, z. B. Windows 7 oder Windows Server 2012 ist TLS 1.1 oder TLS 1.2 nicht standardmäßig für sichere Kommunikationen mit WinHTTP aktiviert. Installieren Sie bei diesen früheren Versionen von Windows das Update 3140245, um den unten angegebenen Registrierungswert zu aktivieren. Dieser kann so festgelegt werden, dass TLS 1.1 und TLS 1.2 zur Standard-Sicherheitsprotokollliste für WinHTTP hinzugefügt werden. Wenn der Patch installiert ist, erstellen Sie die folgenden Registrierungswerte:
Wichtig
Aktivieren Sie diese Einstellungen auf allen Clients, auf denen frühere Versionen von Windows ausgeführt werden, bevor Sie TLS 1.2 aktivieren und die älteren Protokolle auf den Configuration Manager-Servern deaktivieren. Andernfalls können Sie sie versehentlich zu verwaisten Elementen machen.
Überprüfen Sie den Wert der Registrierungseinstellung DefaultSecureProtocols
, z. B.:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
Wenn Sie diesen Wert ändern, starten Sie den Computer neu.
Das vorherige Beispiel zeigt den Wert von 0xAA0
für die WinHTTP-Einstellung DefaultSecureProtocols
.
Update zum Aktivieren von TLS 1.1 und TLS 1.2 als Standardsicherheitsprotokolle in WinHTTP unter Windows listet den Hexadezimalwert für jedes Protokoll auf. In Windows ist dieser Wert standardmäßig 0x0A0
, um SSL 3.0 und TLS 1.0 für WinHTTP zu aktivieren. Im vorherigen Beispiel werden diese Standardwerte beibehalten und TLS 1.1 und TLS 1.2 für WinHTTP aktiviert. Durch diese Konfiguration wird sichergestellt, dass die Änderung keine andere Anwendung unterbricht, die möglicherweise weiterhin SSL 3.0 oder TLS 1.0 verwendet. Sie können den Wert von 0xA00
verwenden, um nur TLS 1.1 und TLS 1.2 zu aktivieren. Configuration Manager unterstützt das sicherste Protokoll, das Windows zwischen beiden Geräten aushandelt.
Wenn Sie SSL 3.0 und TLS 1.0 vollständig deaktivieren möchten, verwenden Sie die Einstellung für deaktivierte SChannel-Protokolle unter Windows. Weitere Informationen finden Sie unter Einschränken der Verwendung bestimmter kryptografischer Algorithmen und Protokolle in Schannel.dll.
Sicherstellen, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist
Die Protokollnutzung wird größtenteils auf drei Ebenen gesteuert: auf Betriebssystemebene, Framework- oder Plattformebene und Anwendungsebene. TLS 1.2 ist standardmäßig auf Betriebssystemebene aktiviert. Nachdem Sie sichergestellt haben, dass die .NET-Registrierungswerte so festgelegt sind, dass TLS 1.2 aktiviert wird, und überprüfen Sie, ob die Umgebung TLS 1.2 im Netzwerk ordnungsgemäß verwendet, können Sie den SChannel\Protocols
Registrierungsschlüssel bearbeiten, um die älteren, weniger sicheren Protokolle zu deaktivieren. Weitere Informationen zum Deaktivieren von TLS 1.0 und 1.1 finden Sie unter Konfigurieren von Schannel-Protokollen in der Windows-Registrierung.
.NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
Ermitteln der .NET-Version
Ermitteln Sie zunächst die installierten .NET-Versionen. Weitere Informationen finden Sie unter So stellen Sie fest, welche Versionen und Service Packs von .NET Framework installiert sind.
.NET-Updates installieren
Installieren Sie die .NET-Updates, damit Sie starke Kryptografie aktivieren können. Einige Versionen von .NET Framework erfordern möglicherweise Updates, um eine starke Kryptografie zu ermöglichen. Nutzen Sie diese Richtlinien:
NET Framework 4.6.2 und höher unterstützt TLS 1.1 und TLS 1.2. Bestätigen Sie die Registrierungseinstellungen, aber es sind keine weiteren Änderungen erforderlich.
Hinweis
Ab Version 2107 erfordert Configuration Manager Microsoft .NET Framework Version 4.6.2 für Standortserver, bestimmte Standortsysteme, Clients und die Konsole. Installieren Sie nach Möglichkeit in Ihrer Umgebung die neueste Version von .NET Version 4.8.
Aktualisieren Sie NET Framework 4.6 und frühere Versionen, um TLS 1.1 und TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter .NET Framework – Versionen und Abhängigkeiten.
Wenn Sie .NET Framework 4.5.1 oder 4.5.2 auf Windows 8.1, Windows Server 2012 R2 oder Windows Server 2012 verwenden, wird dringend empfohlen, die neuesten Sicherheitsupdates für .NET Framework 4.5.1 und 4.5.2 zu installieren, um sicherzustellen, dass TLS 1.2 ordnungsgemäß aktiviert werden kann.
Als Referenz wurde TLS 1.2 erstmals in .NET Framework 4.5.1 und 4.5.2 mit den folgenden Hotfixrollups eingeführt:
- Für Windows 8.1 und Server 2012 R2: Hotfixrollup 3099842
- Für Windows Server 2012: Hotfixrollup 3099844
Konfigurieren für starke Kryptografie
Konfigurieren Sie .NET Framework, um starke Kryptografie zu unterstützen. Legen Sie die SchUseStrongCrypto
Registrierungseinstellung auf fest DWORD:00000001
. Dieser Wert deaktiviert die RC4-Streamchiffre und erfordert einen Neustart. Weitere Informationen zu dieser Einstellung finden Sie unter Microsoft Sicherheitsempfehlung 296038.
Stellen Sie sicher, dass Sie die folgenden Registrierungsschlüssel auf jedem Computer festlegen, der über das Netzwerk mit einem TLS 1.2-fähigen System kommuniziert. Beispielsweise Configuration Manager Clients, Remotestandortsystemrollen, die nicht auf dem Standortserver installiert sind, und der Standortserver selbst.
Aktualisieren Sie für 32-Bit-Anwendungen, die auf 32-Bit-Betriebssystemen ausgeführt werden, und für 64-Bit-Anwendungen, die auf 64-Bit-Betriebssystemen ausgeführt werden, die folgenden Unterschlüsselwerte:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Aktualisieren Sie für 32-Bit-Anwendungen, die auf 64-Bit-Systemen ausgeführt werden, die folgenden Unterschlüsselwerte:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Hinweis
Die SchUseStrongCrypto
Einstellung ermöglicht .NET die Verwendung von TLS 1.1 und TLS 1.2. Die SystemDefaultTlsVersions
Einstellung ermöglicht .NET die Verwendung der Betriebssystemkonfiguration. Weitere Informationen finden Sie unter Bewährte Methoden für TLS mit dem .NET Framework.