So aktivieren Sie TLS 1.2

Gilt für: Configuration Manager (Current Branch)

Transport Layer Security (TLS) wie Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll, das die Sicherheit von Daten bei der Übertragung über ein Netzwerk gewährleisten soll. In diesen Artikeln werden die erforderlichen Schritte beschrieben, um sicherzustellen, dass für die sichere Kommunikation von Configuration Manager das TLS 1.2-Protokoll verwendet wird. In diesen Artikeln werden auch die Updateanforderungen für häufig verwendete Komponenten und die Problembehandlung häufig auftretender Probleme beschrieben.

Aktivieren von TLS 1.2

Configuration Manager basiert auf vielen verschiedenen Komponenten für eine sichere Kommunikation. Das Protokoll, das für eine bestimmte Verbindung verwendet wird, hängt von den Funktionen der relevanten Komponenten auf Client- und Serverseite ab. Wenn eine Komponente veraltet oder nicht ordnungsgemäß konfiguriert ist, verwendet die Kommunikation möglicherweise ein älteres, weniger sicheres Protokoll. Damit Configuration Manager TLS 1.2 für die gesamte sichere Kommunikation ordnungsgemäß unterstützt, müssen Sie TLS 1.2 für alle erforderlichen Komponenten aktivieren. Die erforderlichen Komponenten hängen von Ihrer Umgebung und den von Ihnen verwendeten Configuration Manager-Features ab.

Wichtig

Starten Sie diesen Vorgang mit den Clients, insbesondere mit früheren Versionen von Windows. Bevor Sie TLS 1.2 aktivieren und die älteren Protokolle auf den Configuration Manager-Servern deaktivieren, stellen Sie sicher, dass alle Clients TLS 1.2 unterstützen. Andernfalls können die Clients nicht mit den Servern kommunizieren und verwaist sein.

Aufgaben für Configuration Manager-Clients, Standortserver und Remotestandortsysteme

Um TLS 1.2 für Komponenten zu aktivieren, von denen Configuration Manager für eine sichere Kommunikation abhängt, müssen Sie mehrere Aufgaben sowohl auf den Clients als auch auf den Standortservern ausführen.

Aktivieren von TLS 1.2 für Configuration Manager-Clients

Aktivieren von TLS 1.2 für Configuration Manager-Standortserver und Remotestandortsysteme

Features und Szenarioabhängigkeiten

In diesem Abschnitt werden die Abhängigkeiten für bestimmte Configuration Manager-Features und -Szenarien beschrieben. Um die nächsten Schritte zu ermitteln, suchen Sie die Elemente, die für Ihre Umgebung gelten.

Feature oder Szenario Aktualisieren von Vorgängen
Standortserver (zentral, primär oder sekundär) - Aktualisieren .NET Framework
– Überprüfen der starken Kryptografieeinstellungen
Websitedatenbankserver Aktualisieren SQL Server und seiner Clientkomponenten
Sekundäre Standortserver Aktualisieren SQL Server und seiner Clientkomponenten auf eine kompatible Version von SQL Server Express
Websitesystemrollen - Aktualisieren .NET Framework und Überprüfen der starken Kryptografieeinstellungen
- Aktualisieren SQL Server und ihrer Clientkomponenten auf Rollen, die dies erfordern, einschließlich der SQL Server Native Client
Reporting Services Point - Aktualisieren .NET Framework auf dem Standortserver, auf den SQL Server Reporting Services Servern und auf jedem Computer mit der Konsole
– Starten Sie den SMS_Executive Dienst nach Bedarf neu.
Softwareupdatepunkt WSUS aktualisieren
Cloud-Verwaltungsgateway Tls 1.2 erzwingen
Configuration Manager-Konsole - Aktualisieren .NET Framework
– Überprüfen der starken Kryptografieeinstellungen
Configuration Manager-Client mit HTTPS-Standortsystemrollen Aktualisieren Windows zur Unterstützung von TLS 1.2 für die Client-Server-Kommunikation mithilfe von WinHTTP
Software Center - Aktualisieren .NET Framework
– Überprüfen der starken Kryptografieeinstellungen
Windows 7 Clients Bevor Sie TLS 1.2 auf beliebigen Serverkomponenten aktivieren, aktualisieren Sie Windows, um TLS 1.2 für die Clientserverkommunikation mit winHTTP zu unterstützen. Wenn Sie TLS 1.2 zuerst auf Serverkomponenten aktivieren, können Sie frühere Versionen von Clients verwaist haben.

Häufig gestellte Fragen

Gründe für die Verwendung von TLS 1.2 mit Configuration Manager

TLS 1.2 ist sicherer als die vorherigen kryptografischen Protokolle wie SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1. Im Wesentlichen sorgt TLS 1.2 dafür, dass Daten sicherer über das Netzwerk übertragen werden.

Wo verwendet Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2?

Configuration Manager verwendet im Wesentlichen fünf Bereiche, in denen Verschlüsselungsprotokolle wie TLS 1.2 verwendet werden:

  • Clientkommunikation mit IIS-basierten Standortserverrollen, wenn die Rolle für die Verwendung von HTTPS konfiguriert ist. Beispiele für diese Rollen sind Verteilungspunkte, Softwareupdatepunkte und Verwaltungspunkte.
  • Kommunikation zwischen Verwaltungspunkt, SMS Executive und SMS-Anbieter mit SQL. Configuration Manager verschlüsselt immer SQL Server Kommunikation.
  • Standortserver-zu-WSUS-Kommunikation, wenn WSUS für die Verwendung von HTTPS konfiguriert ist.
  • Die Configuration Manager-Konsole zum SQL Server Reporting Services (SSRS), wenn SSRS für die Verwendung von HTTPS konfiguriert ist.
  • Alle Verbindungen mit internetbasierten Diensten. Beispiele hierfür sind das Cloudverwaltungsgateway (CMG), die Dienstverbindungspunktsynchronisierung und die Synchronisierung von Updatemetadaten von Microsoft Update.

Was bestimmt, welches Verschlüsselungsprotokoll verwendet wird?

HTTPS handelt immer die höchste Protokollversion aus, die sowohl vom Client als auch vom Server in einer verschlüsselten Unterhaltung unterstützt wird. Beim Herstellen einer Verbindung sendet der Client eine Nachricht an den Server mit dem höchsten verfügbaren Protokoll. Wenn der Server dieselbe Version unterstützt, sendet er eine Nachricht mit dieser Version. Bei dieser ausgehandelten Version handelt es sich um die Version, die für die Verbindung verwendet wird. Wenn der Server die vom Client angezeigte Version nicht unterstützt, gibt die Servernachricht die höchste Version an, die er verwenden kann. Weitere Informationen zum TLS Handshake-Protokoll finden Sie unter "Einrichten einer sicheren Sitzung mithilfe von TLS".

Was bestimmt, welche Protokollversion der Client und Server verwenden kann?

Im Allgemeinen können die folgenden Elemente bestimmen, welche Protokollversion verwendet wird:

  • Die Anwendung kann festlegen, welche bestimmten Protokollversionen aushandelt werden sollen.
    • Bewährte Methoden legen fest, dass bestimmte Protokollversionen auf Anwendungsebene nicht hartcodiert werden und die auf Komponenten- und Betriebssystemprotokollebene definierte Konfiguration befolgt werden soll.
    • Configuration Manager folgt dieser bewährten Methode.
  • Für Anwendungen, die mithilfe der .NET Framework geschrieben wurden, sind die Standardprotokollversionen von der Version des Frameworks abhängig, auf dem sie kompiliert wurden.
    • In .NET-Versionen vor 4.6.3 waren TLS 1.1 und 1.2 standardmäßig nicht in der Liste der Aushandlungsprotokolle enthalten.
  • Anwendungen, die WinHTTP für die HTTPS-Kommunikation verwenden, wie z. B. der Configuration Manager-Client, sind von der Betriebssystemversion, Patchebene und Konfiguration für die Protokollversionsunterstützung abhängig.

Weitere Ressourcen

Nächste Schritte