Megosztás a következőn keresztül:

A TLS 1.2 engedélyezése a helykiszolgálókon és a távoli helyrendszereken

  • Cikk

A következőkre vonatkozik: Configuration Manager (aktuális ág)

Amikor engedélyezi a TLS 1.2-t a Configuration Manager-környezetben, először engedélyezze a TLS 1.2-t az ügyfelek számára . Ezután engedélyezze a TLS 1.2-t a helykiszolgálókon és a távoli helyrendszereken. Végül tesztelje az ügyfél és a helyrendszer közötti kommunikációt, mielőtt esetleg letiltja a régebbi protokollokat a kiszolgálóoldalon. A TLS 1.2 helykiszolgálókon és távoli helyrendszereken való engedélyezéséhez a következő feladatok szükségesek:

  • Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
  • A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
  • AZ SQL Server és az ügyfél összetevőinek frissítése
  • A Windows Server Update Services (WSUS) frissítése

Az egyes Configuration Manager-funkciók és -forgatókönyvek függőségeiről további információt a TLS 1.2 engedélyezéséről szóló cikkben talál.

Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén

A protokollhasználat többnyire három szinten van szabályozva, az operációs rendszer, a keretrendszer vagy a platform szintjén, valamint az alkalmazás szintjén. A TLS 1.2 alapértelmezés szerint engedélyezve van az operációs rendszer szintjén. Ha meggyőződik arról, hogy a .NET beállításjegyzék-értékei a TLS 1.2 engedélyezésére vannak beállítva, és meggyőződik arról, hogy a környezet megfelelően használja a TLS 1.2-t a hálózaton, érdemes lehet szerkeszteni a SChannel\Protocols beállításkulcsot, hogy letiltsa a régebbi, kevésbé biztonságos protokollokat. A TLS 1.0 és 1.1 letiltásával kapcsolatos további információkért lásd: Schannel-protokollok konfigurálása a Windows beállításjegyzékében.

A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához

A .NET-verzió meghatározása

Először határozza meg a telepített .NET-verziókat. További információ: A .NET-keretrendszer telepített verzióinak és szervizcsomag-szintjeinek meghatározása.

.NET-frissítések telepítése

Telepítse a .NET-frissítéseket, hogy engedélyezze az erős titkosítást. A .NET-keretrendszer egyes verzióinak frissítésére lehet szükség az erős titkosítás engedélyezéséhez. Kövesse az alábbi irányelveket:

  • A NET-keretrendszer 4.6.2-s és újabb verziói támogatják a TLS 1.1-et és a TLS 1.2-t. Erősítse meg a beállításjegyzék beállításait, de nincs szükség további módosításokra.

    Megjegyzés:

    A 2107-es verziótól kezdődően a Configuration Manager a Microsoft .NET-keretrendszer 4.6.2-es verzióját igényli a helykiszolgálókhoz, adott helyrendszerekhez, ügyfelekhez és a konzolhoz. Ha lehetséges, telepítse a .NET legújabb, 4.8-es verzióját.

  • Frissítse a NET-keretrendszer 4.6-os és korábbi verzióit a TLS 1.1 és a TLS 1.2 támogatásához. További információ: .NET-keretrendszer verziói és függőségei.

  • Ha .NET-keretrendszer 4.5.1-et vagy 4.5.2-et használ Windows 8.1, Windows Server 2012 R2 vagy Windows Server 2012 rendszeren, erősen ajánlott telepíteni a .NET-keretrendszer 4.5.1 és 4.5.2 legújabb biztonsági frissítéseit, hogy a TLS 1.2 megfelelően engedélyezhető legyen.

    A TLS 1.2-t először a .Net-keretrendszer 4.5.1-ben és 4.5.2-ben vezettük be a következő kumulatív gyorsjavításokkal:

Konfigurálás erős titkosításhoz

Konfigurálja a .NET-keretrendszert az erős titkosítás támogatásához. Állítsa a SchUseStrongCrypto beállításjegyzék beállítását értékre DWORD:00000001. Ez az érték letiltja az RC4-adatfolyam titkosítását, és újraindítást igényel. További információ erről a beállításról: Microsoft Security Advisory 296038.

Minden olyan számítógépen állítsa be a következő beállításkulcsokat, amelyek a hálózaton keresztül kommunikálnak egy TLS 1.2-kompatibilis rendszerrel. Ilyenek például a Configuration Manager-ügyfelek, a helykiszolgálóra nem telepített távoli helyrendszerszerepkörök és maga a helykiszolgáló.

A 32 bites operációs rendszereken futó 32 bites alkalmazások és a 64 bites operációs rendszereken futó 64 bites alkalmazások esetében frissítse a következő alkulcsértékeket:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

A 64 bites operációs rendszereken futó 32 bites alkalmazások esetében frissítse a következő alkulcsértékeket:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Megjegyzés:

A SchUseStrongCrypto beállítás lehetővé teszi, hogy a .NET a TLS 1.1-et és a TLS 1.2-t használja. A SystemDefaultTlsVersions beállítás lehetővé teszi, hogy a .NET az operációs rendszer konfigurációját használja. További információ: A TLS ajánlott eljárásai a .NET-keretrendszerrel.

AZ SQL Server és az ügyfél összetevőinek frissítése

A Microsoft SQL Server 2016-os és újabb verziói támogatják a TLS 1.1-et és a TLS 1.2-t. Előfordulhat, hogy a korábbi verziók és a függő kódtárak frissítéseket igényelnek. További információ: KB 3135244: TLS 1.2-támogatás a Microsoft SQL Serverhez.

A másodlagos helykiszolgálóknak legalább az SQL Server 2016 Express service pack 2 (13.2.50.26) vagy újabb verzióját kell használniuk.

Natív SQL Server-ügyfél

Megjegyzés:

A TUDÁSBÁZIS 3135244 az SQL Server-ügyfél összetevőire vonatkozó követelményeket is ismerteti.

Győződjön meg arról is, hogy az SQL Server natív ügyfelet legalább az SQL Server 2012 SP4 (11.*.7001.0) verzióra frissíti. Ez a követelmény egy előfeltétel-ellenőrzés (figyelmeztetés).

A Configuration Manager az SQL Server natív ügyfelet használja a következő helyrendszerszerepkörökben:

  • Helyadatbázis-kiszolgáló
  • Helykiszolgáló: központi adminisztrációs hely, elsődleges hely vagy másodlagos hely
  • Felügyeleti pont
  • Eszközfelügyeleti pont
  • Állapotáttelepítési pont
  • SMS-szolgáltató
  • Szoftverfrissítési pont
  • Csoportos küldésre képes terjesztési pont
  • Eszközintelligencia frissítési szolgáltatási pontja
  • Jelentéskészítési szolgáltatási pont
  • Regisztrációs pont
  • Endpoint Protection-pont
  • Szolgáltatáskapcsolódási pont
  • Tanúsítványregisztrációs pont
  • Adattárház-szolgáltatási pont

A TLS 1.2 nagy léptékű engedélyezése az Automanage Machine Configuration és az Azure Arc használatával

Automatikusan konfigurálja a TLS 1.2-t az ügyfél és a kiszolgáló között az Azure-ban, a helyszíni vagy többfelhős környezetekben futó gépekhez. A TLS 1.2 gépek közötti konfigurálásának megkezdéséhez csatlakoztassa őket az Azure-hoz az Azure Arc-kompatibilis kiszolgálók használatával, amelyek alapértelmezés szerint a Gépkonfiguráció előfeltételt is magukban foglalja. A csatlakozás után a TLS 1.2 egyszerűen konfigurálható, ha telepíti a beépített szabályzatdefiníciót az Azure Portalon: Biztonságos kommunikációs protokollok (TLS 1.1 vagy TLS 1.2) konfigurálása Windows-kiszolgálókon. A szabályzat hatóköre hozzárendelhető az előfizetés, az erőforráscsoport vagy a felügyeleti csoport szintjén, valamint kizárhat minden erőforrást a szabályzatdefinícióból.

A konfiguráció hozzárendelése után az erőforrások megfelelőségi állapota részletesen megtekinthető a Vendéghozzárendelések lapon, és az érintett erőforrások hatókörének meghatározásával.

Részletes, részletes oktatóanyagért lásd: KiszolgálóI TLS-protokoll következetes frissítése az Azure Arc és az Automanage machine configuration használatával.

A Windows Server Update Services (WSUS) frissítése

A TLS 1.2 alapértelmezés szerint támogatott a WSUS-ben a Windows Server összes jelenleg támogatott verziójában .

A TLS 1.2 támogatásához a WSUS korábbi verzióiban telepítse a következő frissítést a WSUS-kiszolgálóra:

  • Windows Server 2012-t futtató WSUS-kiszolgáló esetén telepítse a frissítési 4022721 vagy egy újabb kumulatív frissítést.

  • Windows Server 2012 R2 rendszert futtató WSUS-kiszolgáló esetén telepítse 4022720 vagy egy újabb kumulatív frissítést.

Megjegyzés:

2023. október 10-én a Windows Server 2012 és a Windows Server 2012 R2 belépt a kiterjesztett támogatási frissítések szakaszába. A Microsoft a továbbiakban nem nyújt támogatást a Configuration Manager ezen operációs rendszerekre telepített helykiszolgálóihoz vagy szerepköreihez. További információ: Kiterjesztett biztonsági frissítések és Configuration Manager.

Következő lépések