Vorgehensweise: Implementieren von Transport Layer Security 1.2

  • Artikel

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

In diesem Artikel wird beschrieben, wie Sie TLS-Protokollversion 1.2 (Transport Layer Security) für eine System Center Operations Manager-Verwaltungsgruppe aktivieren.

Hinweis

Operations Manager verwendet das auf Betriebssystemebene konfigurierte Protokoll. Wenn beispielsweise TLS 1.0, TLS 1.1 und TLS 1.2 auf Betriebssystemebene aktiviert sind, wählt Operations Manager eines der drei Protokolle in der folgenden bevorzugten Reihenfolge aus:

  1. TLS-Version 1.2
  2. TLS-Version 1.1
  3. TLS-Version 1.0

Der Schannel SSP wählt dann das bevorzugte Authentifizierungsprotokoll, das Client und Server unterstützen können.

Führen Sie die folgenden Schritte aus, um die TLS-Protokollversion 1.2 zu aktivieren:

Hinweis

Microsoft OLE DB-Treiber 18 für SQL Server (empfohlen) wird mit Operations Manager 2016 UR9 und höher unterstützt.

  1. Installieren Sie SQL Server 2012 Native Client 11.0 oder Microsoft OLE DB-Treiber 18 für SQL Server auf allen Verwaltungsservern und dem Webkonsolenserver.
  2. Installieren Sie .NET Framework 4.6 auf allen Verwaltungsservern, Gatewayservern, Webkonsolenservern und dem SQL Server, der die Operations Manager-Datenbanken und die Berichtsserverrolle hostet.
  3. Installieren Sie das erforderliche SQL Server-Update, das TLS 1.2 unterstützt.
  4. Installieren Sie ODBC 11.0 oder ODBC 13.0 auf allen Verwaltungsservern.
  5. Installieren Sie das Updaterollup 4 oder höher für System Center 2016 – Operations Manager.
  6. Konfigurieren Sie Windows so, dass nur TLS 1.2 verwendet wird.
  7. Konfigurieren Sie Operations Manager so, dass nur TLS 1.2 verwendet wird.
  1. Installieren Sie den Microsoft OLE DB-Treiber version 18.2 bis 18.6.7 oder höher auf allen Verwaltungsservern und dem Webkonsolenserver.
  2. Installieren Sie .NET Framework 4.6 auf allen Verwaltungsservern, Gatewayservern, Webkonsolenservern und dem SQL Server, der die Operations Manager-Datenbanken und die Berichtsserverrolle hostet.
  3. Installieren Sie das erforderliche SQL Server-Update, das TLS 1.2 unterstützt.
  4. Installieren Sie odbc Driver Version 17.3 bis 17.10.5 oder höher auf allen Verwaltungsservern.
  5. Konfigurieren Sie Windows so, dass nur TLS 1.2 verwendet wird.
  6. Konfigurieren Sie Operations Manager so, dass nur TLS 1.2 verwendet wird.

Operations Manager generiert selbstsignierte SHA1- und SHA2-Zertifikate. Dies ist erforderlich, um TLS 1.2 zu aktivieren. Wenn von der Zertifizierungsstelle signierte Zertifikate verwendet werden, stellen Sie sicher, dass die Zertifikate entweder SHA1 oder SHA2 sind.

Hinweis

Wenn Ihre Sicherheitsrichtlinien TLS 1.0 und 1.1 einschränken, schlägt die Installation eines neuen Operations Manager 2016-Verwaltungsservers, Gatewayservers, Webkonsole und Reporting Services-Rolle fehl, da die Setupmedien die Updates zur Unterstützung von TLS 1.2 nicht enthalten. Diese Rollen können nur installiert werden, indem Sie TLS 1.0 im System aktivieren, Update Rollup 4 anwenden und dann TLS 1.2 im System aktivieren. Diese Einschränkung gilt nicht für Operations Manager Version 1801.

Konfigurieren des Windows-Betriebssystems für die ausschließliche Verwendung des TLS 1.2-Protokolls

Verwenden Sie eine der folgenden Methoden zur Konfiguration von Windows, dass nur das TLS-Protokoll 1.2 verwendet wird.

Methode 1: Manuelle Bearbeitung der Registrierung

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung für die Wiederherstellung, für den Fall, dass Probleme auftreten.

Verwenden Sie die folgenden Schritte zum systemweiten Aktivieren/Deaktivieren aller SCHANNEL-Protokolle. Sie sollten das TLS 1.2-Protokoll für alle eingehende und ausgehende Kommunikation aktivieren.

Hinweis

Das Vornehmen dieser Registrierungsänderungen wirkt sich nicht auf die Verwendung von Kerberos- oder NTLM-Protokollen aus.

  1. Melden Sie sich beim Server mit einem Konto an, das über lokale Administratoranmeldeinformationen verfügt.

  2. Starten Sie die Registrierung Editor, indem Sie Start auswählen und gedrückt halten, geben Sie regedit in das Textfeld Ausführen ein, und wählen Sie OK aus.

  3. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. Erstellen Sie einen Unterschlüssel unter Protokolle für SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2.

  5. Erstellen Sie Client- und Server-Unterschlüssel unter jedem Unterschlüssel der Protokollversion, den Sie zuvor erstellt haben. Der Unterschlüssel für TLS 1.0 wäre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client beispielsweise und HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

  6. Um jedes Protokoll zu deaktivieren, erstellen Sie die folgenden DWORD-Werte unter Server und Client:

    • Enabled [Wert = 0]
    • DisabledByDefault [Wert = 1]

  7. Um das TLS 1.2-Protokoll zu aktivieren, erstellen Sie die folgenden DWORD-Werte unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client und HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

    • Enabled [Wert = 1]
    • DisabledByDefault [Wert = 0]

  8. Schließen Sie den Registrierungs-Editor.

Methode 2: Automatische Bearbeitung der Registrierung

Führen Sie das folgende Windows PowerShell Skript als Administrator aus, um Ihr Windows-Betriebssystem automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Konfigurieren von Operations Manager zur ausschließlichen Verwendung von TLS 1.2

Führen Sie nach Abschluss der Konfiguration aller erforderlichen Komponenten für Operations Manager die folgenden Schritte auf allen Verwaltungsservern, dem Hostserver der Webkonsolenrolle und auf jedem Windows-Computer, auf dem der Agent installiert ist, aus.

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie jegliche Änderungen durchführen, sichern Sie die Registrierung für die Wiederherstellung, für den Fall, dass Probleme auftreten.

Hinweis

Wenn SCOM 2012 R2 unter Windows 2012 ausgeführt wird, sind zusätzliche Änderungen erforderlich, damit TLS 1.2 anstelle von HTTP für die UNIX/Linux-Überwachung verwendet wird. Um TLS 1.2 als Standardsicherheitsprotokolle in WinHTTP unter Windows zu aktivieren, müssen die folgenden Änderungen vorgenommen werden, die unter Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP in Windows beschrieben werden.

  1. Installieren Sie KB3140245 auf den Verwaltungsservern/Gatewayservern im UNIX/Linux-Ressourcenpool.
  2. Sichern Sie die Registrierungen, die wie im KB-Artikel erwähnt geändert wurden.
  3. Laden Sie das Tool Easy Fix auf den Verwaltungsservern/Gateways im UNIX/Linux-Ressourcenpool herunter, und führen Sie es aus.
  4. Starten Sie die Server neu.

Manuelles Bearbeiten der Registrierung

  1. Melden Sie sich beim Server mit einem Konto an, das über lokale Administratoranmeldeinformationen verfügt.
  2. Starten Sie die Registrierung Editor, indem Sie Start auswählen und gedrückt halten, geben Sie regedit in das Textfeld Ausführen ein, und klicken Sie dann auf OK.
  3. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Erstellen Sie den DWORD-Wert SchUseStrongCrypto unter diesem Unterschlüssel mit einem Wert von 1.
  5. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Erstellen Sie den DWORD-Wert SchUseStrongCrypto unter diesem Unterschlüssel mit einem Wert von 1.
  7. Starten Sie das System neu, damit die Einstellungen wirksam werden.

Automatische Bearbeitung der Registrierung

Führen Sie das folgende Windows PowerShell Skript im Administratormodus aus, um Operations Manager automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Zusätzliche Einstellungen

Wenn dies für System Center 2016 – Operations Manager implementiert wird, stellen Sie nach dem Anwenden von Updaterollup 4 sicher, dass Sie die Management Packs importieren, die in diesem Rollup enthalten sind, das sich im folgenden Verzeichnis befindet: \Programme\Microsoft System Center 2016\Operations Manager\Server\Management Packs für Updaterollups.

Wenn Sie eine unterstützte Version von Linux-Server mit Operations Manager überwachen, befolgen Sie die Anweisungen auf der entsprechenden Website für Ihre Distribution zur Konfiguration von TLS 1.2.

Überwachungssammeldienste (ACS)

Für die Überwachungssammeldienste (ACS) müssen Sie zusätzliche Änderungen in der Registrierung auf dem ACS-Sammlungsserver vornehmen. ACS verwendet DSN zum Herstellen von Verbindungen zur Datenbank. Sie müssen DSN-Einstellungen aktualisieren, damit sie für TLS 1.2 funktionsfähig werden.

  1. Melden Sie sich beim Server mit einem Konto an, das über lokale Administratoranmeldeinformationen verfügt.

  2. Starten Sie die Registrierung Editor, indem Sie Start auswählen und gedrückt halten, geben Sie regedit in das Textfeld Ausführen ein, und wählen Sie OK aus.

  3. Suchen Sie den folgenden ODBC-Unterschlüssel für OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Hinweis

    Der Standardname für DSN lautet OpsMgrAC.

  4. Wählen Sie im Unterschlüssel ODBC-Datenquellen den DSN-Namen OpsMgrAC aus. Dieser enthält den Namen des ODBC-Treibers, der für die Datenbankverbindung verwendet werden soll. Wenn Sie ODBC 11.0 installiert haben, ändern Sie diesen Namen in ODBC Driver 11 für SQL Server, oder wenn Sie ODBC 13.0 installiert haben, ändern Sie diesen Namen in ODBC Driver 13 für SQL Server.

  5. Aktualisieren Sie unter dem Unterschlüssel OpsMgrAC den Treiber für die installierte ODBC-Version.

    • Wenn ODBC 11.0 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql11.dll.
    • Wenn ODBC 13.0 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql13.dll.

    Registrierungsdatei

    Alternativ können Sie die folgende .reg-Datei im Editor oder in einem anderen Text-Editor erstellen und speichern. Doppelklicken Sie zum Ausführen der gespeicherten .reg Datei auf die Datei.

    • Erstellen Sie für ODBC 11.0 die folgende ODBC-11.reg-Datei:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 11 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql11.dll"

    • Erstellen Sie für ODBC 13.0 die folgende ODBC-13.reg-Datei:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 13 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql13.dll"

    PowerShell

    Alternativ können Sie die folgenden PowerShell-Befehle ausführen, um die Änderung zu automatisieren.

    • Führen Sie für ODBC 11.0 die folgenden PowerShell-Befehle aus:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null

    • Führen Sie für ODBC 13.0 die folgenden PowerShell-Befehle aus:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null

Überwachungssammeldienste (ACS)

Für die Überwachungssammeldienste (ACS) müssen Sie zusätzliche Änderungen in der Registrierung auf dem ACS-Sammlungsserver vornehmen. ACS verwendet DSN zum Herstellen von Verbindungen zur Datenbank. Sie müssen DSN-Einstellungen aktualisieren, damit sie für TLS 1.2 funktionsfähig werden.

  1. Melden Sie sich beim Server an, indem Sie ein Konto verwenden, das über lokale Administratoranmeldeinformationen verfügt.

  2. Starten Sie Registrierung Editor, indem Sie Start auswählen und gedrückt halten, geben Sie regedit in das Textfeld Ausführen ein, und wählen Sie OK aus.

  3. Suchen Sie den folgenden ODBC-Unterschlüssel für OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Hinweis

    Der Standardname für DSN lautet OpsMgrAC.

  4. Wählen Sie im Unterschlüssel ODBC-Datenquellen den DSN-Namen OpsMgrAC aus. Dies enthält den Namen des ODBC-Treibers, der für die Datenbankverbindung verwendet werden soll. Wenn SIE ODBC 17 installiert haben, ändern Sie diesen Namen in ODBC-Treiber 17 für SQL Server.

  5. Aktualisieren Sie unter dem Unterschlüssel OpsMgrAC den Treiber für die installierte ODBC-Version.

    • Wenn ODBC 17 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql17.dll.

    Registrierungsdatei

    Alternativ können Sie die folgende .reg-Datei im Editor oder in einem anderen Text-Editor erstellen und speichern. Doppelklicken Sie zum Ausführen der gespeicherten .reg Datei auf die Datei.

    • Erstellen Sie für ODBC 17 die folgende ODBC-17.reg-Datei:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 17 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql17.dll"

    PowerShell

    Alternativ können Sie die folgenden PowerShell-Befehle ausführen, um die Änderung zu automatisieren.

    • Führen Sie für ODBC 17 die folgenden PowerShell-Befehle aus:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null

Nächste Schritte