Partager via


Comment activer TLS 1.2 sur les serveurs de site et les systèmes de site distants

S’applique à : Gestionnaire de configuration (branche actuelle)

Lorsque vous activez TLS 1.2 pour votre environnement Configuration Manager, commencez par activer TLS 1.2 pour les clients . Ensuite, activez TLS 1.2 sur les serveurs de site et les systèmes de site distants. Enfin, testez les communications client-système de site avant de désactiver potentiellement les protocoles plus anciens côté serveur. Les tâches suivantes sont nécessaires pour activer TLS 1.2 sur les serveurs de site et les systèmes de site distants :

  • Assurez-vous que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation
  • Mettez à jour et configurez le .NET Framework pour prendre en charge TLS 1.2
  • Mettre à jour sql Server et les composants clients
  • Mettre à jour Windows Server Update Services (WSUS)

Pour plus d’informations sur les dépendances pour des scénarios et fonctionnalités du Gestionnaire de configuration spécifiques, consultez À propos de l’activation de TLS 1.2.

Assurez-vous que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation

Pour la plupart, l’utilisation du protocole est contrôlée à trois niveaux : le niveau du système d’exploitation, le niveau de l’infrastructure ou de la plateforme et le niveau de l’application. TLS 1.2 est activé par défaut au niveau du système d’exploitation. Une fois que vous avez vérifié que les valeurs de Registre .NET sont définies pour activer TLS 1.2 et que vous avez vérifié que l’environnement utilise correctement TLS 1.2 sur le réseau, vous pouvez modifier la clé de SChannel\Protocols Registre pour désactiver les protocoles plus anciens et moins sécurisés. Pour plus d’informations sur la désactivation de TLS 1.0 et 1.1, consultez Configuration des protocoles Schannel dans le Registre Windows.

Mettez à jour et configurez le .NET Framework pour prendre en charge TLS 1.2

Déterminer la version de .NET

Tout d’abord, déterminez les versions .NET installées. Pour plus d’informations, consultez l’article Déterminer les versions et les niveaux de Service Pack installés de .NET Framework.

Installation des mises à jour .NET

Installez les mises à jour .NET pour activer le chiffrement fort. Certaines versions de .NET Framework peuvent nécessiter des mises à jour pour activer un chiffrement fort. Utilisez les instructions suivantes :

  • NET Framework 4.6.2 et versions ultérieures prend en charge TLS 1.1 et TLS 1.2. Vérifiez les paramètres du Registre, mais aucune modification supplémentaire n’est requise.

    Remarque

    À compter de la version 2107, Configuration Manager requiert Microsoft .NET Framework version 4.6.2 pour les serveurs de site, les systèmes de site, les clients et la console spécifiques. Si possible dans votre environnement, installez la dernière version de .NET version 4.8.

  • Mettez à jour NET Framework 4.6 et versions antérieures pour prendre en charge TLS 1.1 et TLS 1.2. Pour plus d’informations, consultez l’article Versions et dépendances de .NET Framework.

  • Si vous utilisez .NET Framework 4.5.1 ou 4.5.2 sur Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012, il est vivement recommandé d’installer les dernières mises à jour de sécurité pour .Net Framework 4.5.1 et 4.5.2 pour vous assurer que TLS 1.2 peut être activé correctement.

    À titre de référence, TLS 1.2 a été introduit pour la première fois dans .Net Framework 4.5.1 et 4.5.2 avec les correctifs cumulatifs suivants :

Configurer pour un chiffrement fort

Configurez .NET Framework pour prendre en charge le chiffrement fort. Définissez le paramètre de SchUseStrongCrypto Registre sur DWORD:00000001. Cette valeur désactive le chiffrement de flux RC4 et nécessite un redémarrage. Pour plus d’informations sur ce paramètre, consultez 296038 d’avis de sécurité Microsoft.

Veillez à définir les clés de Registre suivantes sur n’importe quel ordinateur qui communique sur le réseau avec un système compatible TLS 1.2. Par exemple, les clients Configuration Manager, les rôles de système de site distants non installés sur le serveur de site et le serveur de site lui-même.

Pour les applications 32 bits qui s’exécutent sur des systèmes d’exploitation 32 bits et pour les applications 64 bits qui s’exécutent sur des systèmes d’exploitation 64 bits, mettez à jour les valeurs de sous-clé suivantes :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Pour les applications 32 bits qui s’exécutent sur des systèmes d’exploitation 64 bits, effectuez la mise à jour des valeurs de sous-clé suivantes :

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Remarque

Le SchUseStrongCrypto paramètre permet à .NET d’utiliser TLS 1.1 et TLS 1.2. Le SystemDefaultTlsVersions paramètre permet à .NET d’utiliser la configuration du système d’exploitation. Pour plus d’informations, consultez Meilleures pratiques TLS avec .NET Framework.

Mettre à jour sql Server et les composants clients

Microsoft SQL Server 2016 et versions ultérieures prennent en charge TLS 1.1 et TLS 1.2. Les versions antérieures et les bibliothèques dépendantes peuvent nécessiter des mises à jour. Pour plus d’informations, consultez Kb 3135244 : prise en charge de TLS 1.2 pour Microsoft SQL Server.

Les serveurs de site secondaires doivent utiliser au moins SQL Server 2016 Express avec Service Pack 2 (13.2.50.26) ou version ultérieure.

SQL Server Native Client

Remarque

Kb 3135244 décrit également la configuration requise pour les composants clients SQL Server.

Veillez également à mettre à jour SQL Server Native Client vers au moins la version SQL Server 2012 SP4 (11.*.7001.0). Il s’agit d’une vérification des prérequis (avertissement).

Configuration Manager utilise SQL Server Native Client sur les rôles de système de site suivants :

  • Serveur de base de données de site
  • Serveur de site : site d’administration centrale, site principal ou site secondaire
  • Point de gestion
  • Point de gestion des appareils
  • Point de migration d’état
  • Fournisseur SMS
  • Point de mise à jour logicielle
  • Point de distribution compatible avec la multidiffusion
  • Point de service de mise à jour Asset Intelligence
  • Point Reporting Services
  • Point d’inscription
  • Point Endpoint Protection
  • Point de connexion de service
  • Point d’inscription de certificat
  • Point de service de l’entrepôt de données

Activer TLS 1.2 à grande échelle à l’aide d’Automanage Machine Configuration et d’Azure Arc

Configure automatiquement TLS 1.2 sur le client et le serveur pour les machines s’exécutant dans des environnements Azure, locaux ou multiclouds. Pour commencer à configurer TLS 1.2 sur vos machines, connectez-les à Azure à l’aide de serveurs avec Azure Arc, qui est fourni avec la configuration requise par défaut. Une fois connecté, TLS 1.2 peut être configuré avec une simplicité de point et de clic en déployant la définition de stratégie intégrée dans le portail Azure : Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des serveurs Windows. L’étendue de stratégie peut être affectée au niveau de l’abonnement, du groupe de ressources ou du groupe d’administration, et exclure toutes les ressources de la définition de stratégie.

Une fois la configuration attribuée, l’état de conformité de vos ressources peut être consulté en détail en accédant à la page Affectations d’invités et en s’appliquant aux ressources affectées.

Pour obtenir un didacticiel détaillé pas à pas, consultez Mettre à niveau de manière cohérente le protocole TLS de votre serveur à l’aide d’Azure Arc et d’Automanage Machine Configuration.

Mettre à jour Windows Server Update Services (WSUS)

TLS 1.2 est pris en charge par défaut pour WSUS sur toutes les versions actuellement prises en charge de Windows Server.

Pour prendre en charge TLS 1.2 dans les versions antérieures de WSUS, installez la mise à jour suivante sur le serveur WSUS :

  • Pour le serveur WSUS exécutant Windows Server 2012, installez la mise à jour 4022721 ou une mise à jour cumulative ultérieure.

  • Pour le serveur WSUS exécutant Windows Server 2012 R2, installez la mise à jour 4022720 ou une mise à jour cumulative ultérieure.

Remarque

Le 10 octobre 2023, Windows Server 2012 et Windows Server 2012 R2 sont entrés dans la phase des mises à jour de support étendu. Microsoft ne prend plus en charge les serveurs de site Configuration Manager ou les rôles installés sur ces systèmes d’exploitation. Pour plus d’informations, consultez Mises à jour de sécurité étendues et Configuration Manager.

Étapes suivantes