Habilitación de TLS 1.2 en los servidores de sitio y sistemas de sitio remoto
Se aplica a: Configuration Manager (rama actual)
Al habilitar TLS 1.2 para el entorno de Configuration Manager, comience primero con la habilitación de TLS 1.2 para los clientes. A continuación, habilite TLS 1.2 en los servidores de sitio y los sistemas de sitio remotos en segundo lugar. Por último, pruebe las comunicaciones de cliente a sistema de sitio antes de deshabilitar potencialmente los protocolos anteriores en el lado servidor. Las siguientes tareas son necesarias para habilitar TLS 1.2 en los servidores de sitio y los sistemas de sitio remoto:
- Asegúrese de que TLS 1.2 está habilitado como protocolo para SChannel en el nivel de sistema operativo
- Actualice y configure .NET Framework para que admita TLS 1.2
- Actualización de componentes de cliente y SQL Server
- Actualizar Windows Server Update Services (WSUS)
Para obtener más información sobre las dependencias de características y escenarios específicos de Configuration Manager, consulte Acerca de la habilitación de TLS 1.2.
Asegúrese de que TLS 1.2 está habilitado como protocolo para SChannel en el nivel de sistema operativo
En su mayor parte, el uso de protocolos se controla en tres niveles, el nivel del sistema operativo, el nivel de plataforma o plataforma y el nivel de aplicación. TLS 1.2 está habilitado de forma predeterminada en el nivel de sistema operativo. Una vez que se haya asegurado de que los valores del Registro de .NET están establecidos para habilitar TLS 1.2 y comprobar que el entorno usa TLS 1.2 correctamente en la red, es posible que desee editar la clave del SChannel\Protocols Registro para deshabilitar los protocolos más antiguos y menos seguros. Para obtener más información sobre cómo deshabilitar TLS 1.0 y 1.1, vea Configuración de protocolos Schannel en el Registro de Windows.
Actualice y configure .NET Framework para que admita TLS 1.2
Determinación de la versión de .NET
En primer lugar, determine las versiones de .NET instaladas. Para más información, vea Determinar las versiones y los niveles de Service Pack de Microsoft .NET Framework instalados.
Instalar actualizaciones de .NET
Instale las actualizaciones de .NET para que pueda habilitar la criptografía segura. Es posible que algunas versiones de .NET Framework requieran actualizaciones para habilitar la criptografía segura. Use estas instrucciones:
NET Framework 4.6.2 y versiones posteriores admiten TLS 1.1 y TLS 1.2. Confirme la configuración del Registro, pero no se requieren cambios adicionales.
Nota:
A partir de la versión 2107, Configuration Manager requiere Microsoft .NET Framework versión 4.6.2 para servidores de sitio, sistemas de sitio específicos, clientes y la consola. Si es posible en su entorno, instale la versión más reciente de .NET versión 4.8.
Actualice NET Framework 4.6 y versiones anteriores para admitir TLS 1.1 y TLS 1.2. Para obtener más información, vea Versiones y dependencias de .NET Framework.
Si usa .NET Framework 4.5.1 o 4.5.2 en Windows 8.1, Windows Server 2012 R2 o Windows Server 2012, se recomienda encarecidamente instalar las actualizaciones de seguridad más recientes para .Net Framework 4.5.1 y 4.5.2 para asegurarse de que TLS 1.2 se puede habilitar correctamente.
Como referencia, TLS 1.2 se introdujo por primera vez en .Net Framework 4.5.1 y 4.5.2 con los siguientes paquetes acumulativos de revisiones:
- Para Windows 8.1 y Server 2012 R2: paquete acumulativo de revisiones 3099842
- Para Windows Server 2012: paquete acumulativo de revisiones 3099844
Configuración para criptografía segura
Configure .NET Framework para admitir criptografía segura. Establezca la configuración del SchUseStrongCrypto Registro en DWORD:00000001. Este valor deshabilita el cifrado de secuencias RC4 y requiere un reinicio. Para obtener más información sobre esta configuración, consulte Microsoft Security Advisory 296038.
Asegúrese de establecer las siguientes claves del Registro en cualquier equipo que se comunique a través de la red con un sistema habilitado para TLS 1.2. Por ejemplo, Configuration Manager clientes, roles de sistema de sitio remoto no instalados en el servidor de sitio y el propio servidor de sitio.
Para aplicaciones de 32 bits que se ejecutan en sistemas operativos de 32 bits y para aplicaciones de 64 bits que se ejecutan en sistemas operativos de 64 bits, actualice los siguientes valores de subclave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Para aplicaciones de 32 bits que se ejecutan en SO de 64 bits, actualice los siguientes valores de subclave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Nota:
La SchUseStrongCrypto configuración permite a .NET usar TLS 1.1 y TLS 1.2. La SystemDefaultTlsVersions configuración permite que .NET use la configuración del sistema operativo. Para obtener más información, consulte Procedimientos recomendados de TLS con .NET Framework.
Actualización de componentes de cliente y SQL Server
Microsoft SQL Server 2016 y versiones posteriores admiten TLS 1.1 y TLS 1.2. Las versiones anteriores y las bibliotecas dependientes pueden requerir actualizaciones. Para obtener más información, consulte KB 3135244: compatibilidad de TLS 1.2 con Microsoft SQL Server.
Los servidores de sitio secundarios deben usar al menos SQL Server 2016 Express con Service Pack 2 (13.2.50.26) o posterior.
SQL Server Native Client
Nota:
KB 3135244 también describe los requisitos para SQL Server componentes de cliente.
Asegúrese de actualizar también el SQL Server Native Client a al menos la versión SQL Server 2012 SP4 (11.*.7001.0). Este requisito es una comprobación de requisitos previos (advertencia).
Configuration Manager usa SQL Server Native Client en los siguientes roles de sistema de sitio:
- Servidor de base de datos de sitio
- Servidor de sitio: sitio de administración central, sitio primario o sitio secundario
- Punto de administración
- Punto de administración de dispositivos
- Punto de migración de estado
- Proveedor de SMS
- Punto de actualización de software
- Punto de distribución habilitado para multidifusión
- Punto de servicio de actualización de Asset Intelligence
- Punto de Reporting Services
- Punto de inscripción
- Punto de Endpoint Protection
- Punto de conexión de servicio
- Punto de registro de certificados
- Punto de servicio de almacenamiento de datos
Habilitación de TLS 1.2 a escala mediante Automanage Machine Configuration y Azure Arc
Configura automáticamente TLS 1.2 en el cliente y el servidor para las máquinas que se ejecutan en entornos de Azure, locales o en varias nubes. Para empezar a configurar TLS 1.2 en las máquinas, conéctelos a Azure mediante servidores habilitados para Azure Arc, lo que incluye el requisito previo de Machine Configuration de forma predeterminada. Una vez conectado, TLS 1.2 se puede configurar con simplicidad de punto y clic implementando la definición de directiva integrada en Azure Portal: Configurar protocolos de comunicación seguros (TLS 1.1 o TLS 1.2) en servidores Windows. El ámbito de la directiva se puede asignar en el nivel de suscripción, grupo de recursos o grupo de administración, así como excluir cualquier recurso de la definición de directiva.
Una vez asignada la configuración, el estado de cumplimiento de los recursos se puede ver con detalle; para ello, vaya a la página Asignaciones de invitados y desplácese hacia abajo hasta los recursos afectados.
Para obtener un tutorial detallado y paso a paso, consulte Actualización coherente del protocolo TLS del servidor mediante Azure Arc y Automanage Machine Configuration.
Actualizar Windows Server Update Services (WSUS)
Para admitir TLS 1.2 en versiones anteriores de WSUS, instale la siguiente actualización en el servidor WSUS:
Para el servidor WSUS que ejecuta Windows Server 2012, instale la actualización 4022721 o una actualización de acumulación posterior.
Para el servidor WSUS que ejecuta Windows Server 2012 R2, instale la actualización 4022720 o una actualización de acumulación posterior.
A partir de Windows Server 2016, TLS 1.2 es compatible de forma predeterminada con WSUS. Las actualizaciones de TLS 1.2 solo son necesarias en servidores WSUS de Windows Server 2012 y Windows Server 2012 R2.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de