Comment activer TLS 1.2 sur les serveurs de site et les systèmes de site distants
S’applique à : Gestionnaire de configuration (branche actuelle)
Lorsque vous activez TLS 1.2 pour votre environnement Configuration Manager, commencez par activer TLS 1.2 pour les clients. Ensuite, activez TLS 1.2 sur les serveurs de site et les systèmes de site distants. Enfin, testez les communications client-système de site avant de désactiver potentiellement les protocoles plus anciens côté serveur. Les tâches suivantes sont nécessaires pour activer TLS 1.2 sur les serveurs de site et les systèmes de site distants :
- Assurez-vous que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation
- Mettez à jour et configurez le .NET Framework pour prendre en charge TLS 1.2
- Mettre à jour les composants SQL Server et clients
- Update Windows Server Update Services (WSUS)
Pour plus d’informations sur les dépendances pour des scénarios et fonctionnalités du Gestionnaire de configuration spécifiques, consultez À propos de l’activation de TLS 1.2.
Assurez-vous que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation
Pour la plupart, l’utilisation du protocole est contrôlée à trois niveaux : le niveau du système d’exploitation, le niveau de l’infrastructure ou de la plateforme et le niveau de l’application. TLS 1.2 est activé par défaut au niveau du système d’exploitation. Une fois que vous avez vérifié que les valeurs de Registre .NET sont définies pour activer TLS 1.2 et que vous avez vérifié que l’environnement utilise correctement TLS 1.2 sur le réseau, vous pouvez modifier la clé de SChannel\Protocols Registre pour désactiver les protocoles plus anciens et moins sécurisés. Pour plus d’informations sur la désactivation de TLS 1.0 et 1.1, consultez Configuration des protocoles Schannel dans le Registre Windows.
Mettez à jour et configurez le .NET Framework pour prendre en charge TLS 1.2
Déterminer la version de .NET
Tout d’abord, déterminez les versions .NET installées. Pour plus d’informations, consultez l’article Déterminer les versions et les niveaux de Service Pack installés de .NET Framework.
Installation des mises à jour .NET
Installez les mises à jour .NET pour activer le chiffrement fort. Certaines versions de .NET Framework peuvent nécessiter des mises à jour pour activer un chiffrement fort. Utilisez les instructions suivantes :
NET Framework 4.6.2 et versions ultérieures prend en charge TLS 1.1 et TLS 1.2. Vérifiez les paramètres du Registre, mais aucune modification supplémentaire n’est requise.
Remarque
À compter de la version 2107, Configuration Manager nécessite Microsoft .NET Framework version 4.6.2 pour les serveurs de site, les systèmes de site spécifiques, les clients et la console. Si possible dans votre environnement, installez la dernière version de .NET version 4.8.
Mettez à jour NET Framework 4.6 et versions antérieures pour prendre en charge TLS 1.1 et TLS 1.2. Pour plus d’informations, consultez l’article Versions et dépendances de .NET Framework.
Si vous utilisez .NET Framework 4.5.1 ou 4.5.2 sur Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012, il est vivement recommandé d’installer les dernières mises à jour de sécurité pour .Net Framework 4.5.1 et 4.5.2 pour vous assurer que TLS 1.2 peut être activé correctement.
À titre de référence, TLS 1.2 a été introduit pour la première fois dans .Net Framework 4.5.1 et 4.5.2 avec les correctifs cumulatifs suivants :
- Pour Windows 8.1 et Server 2012 R2 : correctif cumulatif 3099842
- Pour Windows Server 2012 : correctif cumulatif 3099844
Configurer pour un chiffrement fort
Configurez .NET Framework pour prendre en charge le chiffrement fort. Définissez le paramètre de SchUseStrongCrypto Registre sur DWORD:00000001. Cette valeur désactive le chiffrement de flux RC4 et nécessite un redémarrage. Pour plus d’informations sur ce paramètre, consultez 296038 d’avis de sécurité Microsoft.
Veillez à définir les clés de Registre suivantes sur n’importe quel ordinateur qui communique sur le réseau avec un système compatible TLS 1.2. Par exemple, Configuration Manager clients, les rôles de système de site distants non installés sur le serveur de site et le serveur de site lui-même.
Pour les applications 32 bits qui s’exécutent sur des systèmes d’exploitation 32 bits et pour les applications 64 bits qui s’exécutent sur des systèmes d’exploitation 64 bits, mettez à jour les valeurs de sous-clé suivantes :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Pour les applications 32 bits qui s’exécutent sur des systèmes d’exploitation 64 bits, effectuez la mise à jour des valeurs de sous-clé suivantes :
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Remarque
Le SchUseStrongCrypto paramètre permet à .NET d’utiliser TLS 1.1 et TLS 1.2. Le SystemDefaultTlsVersions paramètre permet à .NET d’utiliser la configuration du système d’exploitation. Pour plus d’informations, consultez Meilleures pratiques TLS avec .NET Framework.
Mettre à jour les composants SQL Server et clients
Microsoft SQL Server 2016 et versions ultérieures prennent en charge TLS 1.1 et TLS 1.2. Les versions antérieures et les bibliothèques dépendantes peuvent nécessiter des mises à jour. Pour plus d’informations, consultez Kb 3135244 : Prise en charge de TLS 1.2 pour Microsoft SQL Server.
Les serveurs de site secondaires doivent utiliser au moins SQL Server 2016 Express avec Service Pack 2 (13.2.50.26) ou version ultérieure.
SQL Server Native Client
Remarque
Kb 3135244 décrit également la configuration requise pour SQL Server composants clients.
Veillez également à mettre à jour le SQL Server Native Client vers au moins la version SQL Server 2012 SP4 (11.*.7001.0). Il s’agit d’une vérification des prérequis (avertissement).
Configuration Manager utilise SQL Server Native Client sur les rôles de système de site suivants :
- Serveur de base de données de site
- Serveur de site : site d’administration centrale, site principal ou site secondaire
- Point de gestion
- Point de gestion des appareils
- Point de migration d’état
- Fournisseur SMS
- Point de mise à jour logicielle
- Point de distribution compatible avec la multidiffusion
- Point de service de mise à jour Asset Intelligence
- Point Reporting Services
- Point d’inscription
- Point Endpoint Protection
- Point de connexion de service
- Point d’inscription de certificat
- Point de service de l’entrepôt de données
Activer TLS 1.2 à grande échelle à l’aide d’Automanage Machine Configuration et d’Azure Arc
Configure automatiquement TLS 1.2 sur le client et le serveur pour les machines s’exécutant dans des environnements Azure, locaux ou multiclouds. Pour commencer à configurer TLS 1.2 sur vos machines, connectez-les à Azure à l’aide de serveurs avec Azure Arc, qui est fourni avec la configuration requise par défaut. Une fois connecté, TLS 1.2 peut être configuré avec une simplicité de point et de clic en déployant la définition de stratégie intégrée dans le portail Azure : Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des serveurs Windows. L’étendue de stratégie peut être affectée au niveau de l’abonnement, du groupe de ressources ou du groupe d’administration, et exclure toutes les ressources de la définition de stratégie.
Une fois la configuration attribuée, l’état de conformité de vos ressources peut être consulté en détail en accédant à la page Affectations d’invités et en s’appliquant aux ressources affectées.
Pour obtenir un didacticiel détaillé pas à pas, consultez Mettre à niveau de manière cohérente le protocole TLS de votre serveur à l’aide d’Azure Arc et d’Automanage Machine Configuration.
Update Windows Server Update Services (WSUS)
Pour prendre en charge TLS 1.2 dans les versions antérieures de WSUS, installez la mise à jour suivante sur le serveur WSUS :
Pour le serveur WSUS qui exécute Windows Server 2012, installez la mise à jour 4022721 ou une mise à jour cumulative ultérieure.
Pour le serveur WSUS qui exécute Windows Server 2012 R2, installez la mise à jour 4022720 ou une mise à jour cumulative ultérieure.
À compter de Windows Server 2016, TLS 1.2 est pris en charge par défaut pour WSUS. Les mises à jour TLS 1.2 ne sont nécessaires que sur les serveurs WSUS Windows Server 2012 et Windows Server 2012 R2.
Prochaines étapes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour