Come abilitare TLS 1.2 nei server del sito e nei sistemi del sito remoto
Si applica a: Configuration Manager (Current Branch)
Quando si abilita TLS 1.2 per l'ambiente di Configuration Manager, iniziare con l'abilitazione di TLS 1.2 per i client . Abilitare quindi TLS 1.2 nei server del sito e nei sistemi del sito remoto in secondo luogo. Infine, testare le comunicazioni da client a sistema del sito prima di disabilitare potenzialmente i protocolli meno recenti sul lato server. Per abilitare TLS 1.2 nei server del sito e nei sistemi del sito remoto, sono necessarie le attività seguenti:
- Verificare che TLS 1.2 sia abilitato come protocollo per SChannel a livello di sistema operativo
- Aggiornare e configurare il .NET Framework per supportare TLS 1.2
- Aggiornare SQL Server e i componenti client
- Aggiornare Windows Server Update Services (WSUS)
Per altre informazioni sulle dipendenze per specifiche funzionalità e scenari di Configuration Manager, vedi Informazioni sull'abilitazione di TLS 1.2.
Verificare che TLS 1.2 sia abilitato come protocollo per SChannel a livello di sistema operativo
Per la maggior parte, l'utilizzo del protocollo è controllato a tre livelli, il livello del sistema operativo, il framework o il livello di piattaforma e il livello dell'applicazione. TLS 1.2 è abilitato per impostazione predefinita a livello di sistema operativo. Dopo aver verificato che i valori del Registro di sistema .NET siano impostati per abilitare TLS 1.2 e verificare che l'ambiente usi correttamente TLS 1.2 in rete, è possibile modificare la chiave del SChannel\Protocols
Registro di sistema per disabilitare i protocolli meno recenti e meno sicuri. Per altre informazioni sulla disabilitazione di TLS 1.0 e 1.1, vedere Configurazione dei protocolli Schannel nel Registro di sistema di Windows.
Aggiornare e configurare il .NET Framework per supportare TLS 1.2
Determinare la versione di .NET
Determinare innanzitutto le versioni di .NET installate. Per ultieriori informazioni, consultare Come determinare la versione e il livello di Service Pack di Microsoft .NET Framework installati.
Installare gli aggiornamenti di .NET
Installare gli aggiornamenti .NET in modo da abilitare la crittografia avanzata. Alcune versioni di .NET Framework potrebbero richiedere aggiornamenti per abilitare la crittografia avanzata. Linee guida:
NET Framework 4.6.2 e versioni successive supporta TLS 1.1 e TLS 1.2. Verificare le impostazioni del Registro di sistema, ma non sono necessarie modifiche aggiuntive.
Nota
A partire dalla versione 2107, Configuration Manager richiede Microsoft .NET Framework versione 4.6.2 per server del sito, sistemi del sito specifici, client e la console. Se possibile nell'ambiente, installare la versione più recente di .NET versione 4.8.
Aggiornare NET Framework 4.6 e versioni precedenti per supportare TLS 1.1 e TLS 1.2. Per ulteriori informazioni, visitare Versioni e dipendenze di .NET Framework.
Se si usa .NET Framework 4.5.1 o 4.5.2 in Windows 8.1, Windows Server 2012 R2 o Windows Server 2012, è consigliabile installare gli aggiornamenti della sicurezza più recenti per .Net Framework 4.5.1 e 4.5.2 per assicurarsi che TLS 1.2 possa essere abilitato correttamente.
Per riferimento, TLS 1.2 è stato introdotto per la prima volta in .Net Framework 4.5.1 e 4.5.2 con i seguenti aggiornamenti rapidi cumulativi:
- Per Windows 8.1 e Server 2012 R2: Rollup hotfix 3099842
- Per Windows Server 2012: rollup hotfix 3099844
Configurare per la crittografia avanzata
Configurare .NET Framework per supportare la crittografia avanzata. Impostare l'impostazione SchUseStrongCrypto
del Registro di sistema su DWORD:00000001
. Questo valore disabilita la crittografia di flusso RC4 e richiede un riavvio. Per altre informazioni su questa impostazione, vedere Microsoft Security Advisory 296038.
Assicurarsi di impostare le chiavi del Registro di sistema seguenti in qualsiasi computer che comunica attraverso la rete con un sistema abilitato per TLS 1.2. Ad esempio, i client di Configuration Manager, i ruoli del sistema del sito remoto non installati nel server del sito e il server del sito stesso.
Per le applicazioni a 32 bit in esecuzione in sistema operativo a 32 bit e per le applicazioni a 64 bit in esecuzione in sistema operativo a 64 bit, aggiornare i valori delle sottochiavi seguenti:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Per le applicazioni a 32 bit eseguite in sistemi operativi a 64 bit, aggiornare il valore della seguente sottochiave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Nota
L'impostazione SchUseStrongCrypto
consente a .NET di usare TLS 1.1 e TLS 1.2. L'impostazione SystemDefaultTlsVersions
consente a .NET di usare la configurazione del sistema operativo. Per altre informazioni, vedere Procedure consigliate per TLS con .NET Framework.
Aggiornare SQL Server e i componenti client
Microsoft SQL Server 2016 e versioni successive supportano TLS 1.1 e TLS 1.2. Le versioni precedenti e le librerie dipendenti potrebbero richiedere aggiornamenti. Per altre informazioni, vedere KB 3135244: Supporto di TLS 1.2 per Microsoft SQL Server.
I server del sito secondario devono usare almeno SQL Server 2016 Express con Service Pack 2 (13.2.50.26) o versione successiva.
SQL Server Native Client
Nota
KB 3135244 descrive anche i requisiti per i componenti client di SQL Server.
Assicurarsi anche di aggiornare SQL Server Native Client almeno alla versione di SQL Server 2012 SP4 (11.*.7001.0). Questo requisito è un controllo dei prerequisiti (avviso).This requirement is a prerequisite check (warning).
Configuration Manager usa SQL Server Native Client nei ruoli del sistema del sito seguenti:
- Server di database del sito
- Server del sito: sito di amministrazione centrale, sito primario o sito secondario
- Punto di gestione
- Punto di gestione dei dispositivi
- Punto di migrazione stato
- Provider SMS
- Punto di aggiornamento software
- Punto di distribuzione abilitato per multicast
- Punto di servizio di aggiornamento di Asset Intelligence
- Punto di Reporting Services
- Punto di registrazione
- Punto di Endpoint Protection
- Punto di connessione del servizio
- Punto di registrazione certificati
- Punto di servizio del data warehouse
Abilitare TLS 1.2 su larga scala usando Automanage Machine Configuration e Azure Arc
Configura automaticamente TLS 1.2 sia nel client che nel server per i computer in esecuzione in ambienti Azure, locali o multi-cloud. Per iniziare a configurare TLS 1.2 tra i computer, connetterli ad Azure usando server abilitati per Azure Arc, che include per impostazione predefinita i prerequisiti di Configurazione computer. Dopo la connessione, TLS 1.2 può essere configurato con semplicità punto e clic distribuendo la definizione di criteri predefinita nel portale di Azure: Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) nei server Windows. L'ambito dei criteri può essere assegnato a livello di sottoscrizione, gruppo di risorse o gruppo di gestione, nonché escludere eventuali risorse dalla definizione dei criteri.
Dopo aver assegnato la configurazione, lo stato di conformità delle risorse può essere visualizzato in dettaglio passando alla pagina Assegnazioni guest e definendo l'ambito fino alle risorse interessate.
Per un'esercitazione dettagliata dettagliata, vedere Aggiornare in modo coerente il protocollo TLS del server usando Azure Arc e Automanage Machine Configuration.
Aggiornare Windows Server Update Services (WSUS)
TLS 1.2 è supportato per impostazione predefinita per WSUS in tutte le versioni attualmente supportate di Windows Server.
Per supportare TLS 1.2 nelle versioni precedenti di WSUS, installare l'aggiornamento seguente nel server WSUS:
Per il server WSUS che esegue Windows Server 2012, installare l'aggiornamento 4022721 o un aggiornamento cumulativo successivo.
Per il server WSUS che esegue Windows Server 2012 R2, installare l'aggiornamento 4022720 o un aggiornamento cumulativo successivo.
Nota
Il 10 ottobre 2023 Windows Server 2012 e Windows Server 2012 R2 sono entrati nella fase Aggiornamenti del supporto esteso. Microsoft non fornirà più il supporto per i server del sito o i ruoli di Configuration Manager installati in questi sistemi operativi. Per altre informazioni, vedere Aggiornamenti della sicurezza estesa e Configuration Manager.