Condividi tramite


Come implementare Transport Layer Security 1.2

Importante

Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2022.

Questo articolo descrive come abilitare il protocollo TLS (Transport Layer Security) versione 1.2 per un gruppo di gestione system Center Operations Manager.

Nota

Operations Manager userà il protocollo configurato a livello di sistema operativo. Ad esempio, se TLS 1.0, TLS 1.1 e TLS 1.2 sono abilitati a livello di sistema operativo, Operations Manager selezionerà uno dei tre protocolli nell'ordine di preferenza seguente:

  1. TLS versione 1.2
  2. TLS versione 1.1
  3. TLS versione 1.0

Schannel SSP seleziona quindi il protocollo di autenticazione più preferito che il client e il server possono supportare.

Eseguire le operazioni descritte di seguito per abilitare il protocollo TLS versione 1.2:

Nota

Microsoft OLE DB Driver 18 per SQL Server (consigliato) è supportato con Operations Manager 2016 UR9 e versioni successive.

  1. Installare SQL Server 2012 Native Client 11.0 o Microsoft OLE DB Driver 18 per SQL Server in tutti i server di gestione e sul server console Web.
  2. Installare .NET Framework 4.6 in tutti i server di gestione, i server gateway, il server della console Web e in SQL Server, dove sono ospitati i database di Operations Manager e il ruolo del server di report.
  3. Installare l'aggiornamento di SQL Server necessario per il supporto di TLS 1.2.
  4. Installare ODBC 11.0 o ODBC 13.0 in tutti i server di gestione.
  5. Per System Center 2016 - Operations Manager installare l'aggiornamento cumulativo 4 o versione successiva.
  6. Configurare Windows in modo che usi solo TLS 1.2.
  7. Configurare Operations Manager in modo che usi solo TLS 1.2.
  1. Installare Microsoft OLE DB Driver versione 18.2 alla versione 18.6.7 o successiva su tutti i server di gestione e sul server console Web.
  2. Installare .NET Framework 4.6 in tutti i server di gestione, i server gateway, il server della console Web e in SQL Server, dove sono ospitati i database di Operations Manager e il ruolo del server di report.
  3. Installare l'aggiornamento di SQL Server necessario per il supporto di TLS 1.2.
  4. Installare ODBC Driver versione 17.3 alla versione 17.10.5 o successiva in tutti i server di gestione.
  5. Configurare Windows in modo che usi solo TLS 1.2.
  6. Configurare Operations Manager in modo che usi solo TLS 1.2.

Operations Manager genera certificati autofirmati SHA1 e SHA2. Questa condizione è obbligatoria per abilitare TLS 1.2. Se vengono usati certificati con firma CA, assicurarsi che i certificati siano SHA1 o SHA2.

Nota

Se i criteri di sicurezza limitano TLS 1.0 e 1.1, l'installazione di un nuovo server di gestione di Operations Manager 2016, il server gateway, la console Web e il ruolo Reporting Services non avranno esito negativo perché i supporti di installazione non includono gli aggiornamenti per supportare TLS 1.2. L'unica possibilità per installare questi ruoli è abilitare TLS 1.0 nel sistema, applicare l'Aggiornamento cumulativo 4 e quindi abilitare TLS 1.2 nel sistema. Questa limitazione non si applica a Operations Manager versione 1801.

Configurare il sistema operativo Windows per usare solo il protocollo TLS 1.2

Usare uno dei metodi seguenti per configurare Windows in modo che venga usato solo il protocollo TLS 1.2.

Metodo 1: modificare manualmente il registro

Importante

Segui con attenzione la procedura descritta in questa sezione. Se le modifiche al Registro di sistema vengono apportate in modo non corretto, possono verificarsi problemi gravi. Prima di modificarlo, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Usare la procedura seguente per abilitare o disabilitare tutti i protocolli SCHANNEL a livello di sistema. È consigliabile abilitare il protocollo TLS 1.2 per tutte le comunicazioni in ingresso e in uscita.

Nota

L'esecuzione di queste modifiche del Registro di sistema non influisce sull'uso dei protocolli Kerberos o NTLM.

  1. Accedere al server usando un account con credenziali amministrative locali.

  2. Avviare Il Registro di sistema Editor selezionando e tenendo premuto Start, immettere regedit nella casella di testo Esegui e selezionare OK.

  3. Individuare la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. Creare una sottochiave in Protocolli per SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 e TLS 1.2.

  5. Creare una sottochiave Client e Server sotto ogni sottochiave della versione del protocollo creata in precedenza. Ad esempio, la sottochiave per TLS 1.0 sarà HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

  6. Per disabilitare ogni protocollo, creare i seguenti valori DWORD in Server e Client:

    • Abilitato [Valore = 0]
    • DisabledByDefault [Value = 1]
  7. Per abilitare il protocollo TLS 1.2, creare i valori DWORD seguenti in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

    • Enabled [Value = 1]
    • DisabledByDefault [Value = 0]
  8. Chiudere l'editor del Registro di sistema.

Metodo 2: modificare automaticamente il Registro di sistema

Eseguire lo script di Windows PowerShell seguente come amministratore per configurare automaticamente il sistema operativo Windows per usare solo il protocollo TLS 1.2:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Configurare Operations Manager in modo che usi solo TLS 1.2

Dopo aver completato la configurazione di tutti i prerequisiti per Operations Manager, eseguire la procedura descritta di seguito in tutti i server di gestione, nel server che ospita il ruolo di console Web e in qualsiasi computer Windows in cui è installato l'agente.

Importante

Segui con attenzione la procedura descritta in questa sezione. Se le modifiche al Registro di sistema vengono apportate in modo non corretto, possono verificarsi problemi gravi. Prima apportare modifiche, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Nota

SCOM 2012 R2 in esecuzione in Windows OS 2012 richiede modifiche aggiuntive per usare TLS 1.2 tramite HTTP per il monitoraggio UNIX/LINUX. Per abilitare TLS 1.2 come protocolli di sicurezza predefiniti in WinHTTP in Windows, le modifiche seguenti devono essere apportate in base all'aggiornamento per abilitare TLS 1.1 e TLS 1.2 come protocolli sicuri predefiniti in WinHTTP in Windows.

  1. Installare KB3140245 nei server di gestione/gateway nel pool di risorse UNIX/LINUX.
  2. Eseguire il backup dei registri modificati come indicato nell'articolo della KB.
  3. Scaricare ed eseguire lo strumento Easy Fix nei server di gestione/gateway nel pool di risorse UNIX/LINUX.
  4. Riavviare i server.

Modificare manualmente il registro

  1. Accedere al server usando un account con credenziali amministrative locali.
  2. Avviare Il Registro di sistema Editor selezionando e tenendo premuto Start, immettere regedit nella casella di testo Esegui e quindi selezionare OK.
  3. Individuare la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Creare il valore DWORD SchUseStrongCrypto sotto questa sottochiave con valore 1.
  5. Individuare la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Creare il valore DWORD SchUseStrongCrypto sotto questa sottochiave con valore 1.
  7. Riavviare il sistema per rendere effettive le impostazioni.

Modificare automaticamente il Registro di sistema

Eseguire lo script di Windows PowerShell seguente in modalità amministratore per configurare automaticamente Operations Manager per usare solo il protocollo TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Impostazioni aggiuntive

Se questa operazione viene implementata per System Center 2016 - Operations Manager, dopo aver applicato l'aggiornamento cumulativo 4, assicurarsi di importare i Management Pack inclusi in questo rollup nella directory seguente: \Programmi\Microsoft System Center 2016\Operations Manager\Server\Management Pack per gli aggiornamenti cumulativi.

Se si esegue il monitoraggio di una versione supportata del server Linux con Operations Manager, seguire le istruzioni sul sito Web appropriato per la distribuzione per configurare TLS 1.2.

Audit Collection Services

Per Audit Collection Services (ACS), è necessario apportare modifiche aggiuntive nel Registro di sistema nel server di raccolta dati ACS. ACS usa il DSN per stabilire le connessioni al database. È necessario aggiornare le impostazioni DSN per renderle funzionali per TLS 1.2.

  1. Accedere al server usando un account con credenziali amministrative locali.

  2. Avviare Il Registro di sistema Editor selezionando e tenendo premuto Start, immettere regedit nella casella di testo Esegui e selezionare OK.

  3. Individuare la sottochiave ODBC seguente per OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Nota

    Il nome predefinito del DSN è OpsMgrAC.

  4. In Origine dati ODBC selezionare il nome di DSN OpsMgrAC. Contiene il nome del driver ODBC da usare per la connessione al database. Se è installato ODBC 11.0, modificare questo nome in ODBC Driver 11 for SQL Server oppure, se è installato ODBC 13.0, modificare il nome in ODBC Driver 13 for SQL Server.

  5. Nella sottochiave OpsMgrAC aggiornare il driver per la versione ODBC installata.

    • Se è installato ODBC 11.0, modificare la voce driver in %WINDIR%\system32\msodbcsql11.dll.
    • Se è installato ODBC 13.0, modificare la voce driver in %WINDIR%\system32\msodbcsql13.dll.

    File del Registro di sistema

    In alternativa, creare e salvare il file .reg seguente nel Blocco note o in un altro editor di testo. Per eseguire il file di .reg salvato, fare doppio clic sul file.

    • Per ODBC 11.0, creare il file ODBC 11.reg seguente:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 11 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql11.dll"
      
    • Per ODBC 13.0, creare il file ODBC 13.reg seguente:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 13 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql13.dll"
      

    PowerShell

    In alternativa, è possibile eseguire i comandi di PowerShell seguenti per automatizzare la modifica.

    • Per ODBC 11.0, eseguire i comandi di PowerShell seguenti:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null
      
    • Per ODBC 13.0, eseguire i comandi di PowerShell seguenti:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null
      

Audit Collection Services

Per Audit Collection Services (ACS), è necessario apportare modifiche aggiuntive nel Registro di sistema nel server di raccolta dati ACS. ACS usa il DSN per stabilire le connessioni al database. È necessario aggiornare le impostazioni DSN per renderle funzionali per TLS 1.2.

  1. Accedere al server usando un account con credenziali amministrative locali.

  2. Avviare registro Editor selezionando e tenendo premuto Start, immettere regedit nella casella di testo Esegui e selezionare OK.

  3. Individuare la sottochiave ODBC seguente per OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Nota

    Il nome predefinito del DSN è OpsMgrAC.

  4. In Origine dati ODBC selezionare il nome di DSN OpsMgrAC. Contiene il nome del driver ODBC da utilizzare per la connessione al database. Se è installato ODBC 17, modificare questo nome in ODBC Driver 17 per SQL Server.

  5. Nella sottochiave OpsMgrAC aggiornare il driver per la versione ODBC installata.

    • Se è installato ODBC 17, modificare la voce Driver in %WINDIR%\system32\msodbcsql17.dll.

    File del Registro di sistema

    In alternativa, creare e salvare il file .reg seguente nel Blocco note o in un altro editor di testo. Per eseguire il file di .reg salvato, fare doppio clic sul file.

    • Per ODBC 17, creare il file ODBC 17.reg seguente:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 17 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql17.dll"
      

    PowerShell

    In alternativa, è possibile eseguire i comandi di PowerShell seguenti per automatizzare la modifica.

    • Per ODBC 17, eseguire i comandi di PowerShell seguenti:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
      

Passaggi successivi