Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les étapes permettant de désactiver le protocole TLS (Transport Layer Security) 1.0 et 1.1 sur les serveurs Microsoft BitLocker Administration and Monitoring (MBAM) et de forcer l’utilisation de TLS 1.2.
Numéro de base de connaissances d’origine : 4558055
Symptômes
Microsoft envisage de désactiver les protocoles TLS plus anciens, en préparation de la désactivation de TLS 1.0 et TLS 1.1 par défaut. Consultez Plan de modification : TLS 1.0 et TLS 1.1 seront bientôt désactivés par défaut.
Pour les clients d’entreprise, il peut nécessiter la désactivation de TLS 1.0 et 1.1 dans leur environnement pour l’infrastructure d’administration et de surveillance Microsoft BitLocker (MBAM).
Résolution
Suivez ces étapes pour désactiver TLS 1.0 et 1.1 sur les serveurs MBAM et forcer l’utilisation de TLS 1.2.
Téléchargez et installez la dernière version disponible de Microsoft .NET Framework sur tous les serveurs MBAM suivants :
- Serveurs web exécutant des rôles IIS
- Serveurs SQL exécutant le moteur de base de données SQL Server et SQL Server Reporting Services
Reportez-vous à : Programme d’installation hors connexion de Microsoft .NET Framework 4.8 pour Windows
Exécutez les scripts PowerShell ci-dessous. Ils sont utilisés pour désactiver TLS 1.0 et 1.1, et forcer l’utilisation uniquement de TLS 1.2.
Redémarrez les serveurs, puis testez les applications web MBAM. Vérifiez que les clients MBAM peuvent communiquer avec le serveur pour sauvegarder les informations de récupération.
<Tighten_DotNet.PS1>
#Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
<Force_TLS1.2.PS1>
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0