サイト サーバーとリモート サイト システムで TLS 1.2 を有効にする方法

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Manager環境で TLS 1.2 を有効にする場合は、まずクライアントに対して TLS 1.2 を有効にします。 次に、2 番目にサイト サーバーとリモート サイト システムで TLS 1.2 を有効にします。 最後に、サーバー側で古いプロトコルを無効にする可能性がある前に、クライアントからサイト システムへの通信をテストします。 サイト サーバーとリモート サイト システムで TLS 1.2 を有効にするには、次のタスクが必要です。

  • オペレーティング システム レベルで SChannel のプロトコルとして TLS 1.2 が有効になっているか確認する
  • TLS 1.2 をサポートするように .NET Framework を更新および構成する
  • SQL Serverおよびクライアント コンポーネントを更新する
  • 更新Windows Server Update Services (WSUS)

特定の Configuration Manager の機能とシナリオの依存関係の詳細については、「TLS 1.2 の有効化について」を参照してください。

オペレーティング システム レベルで SChannel のプロトコルとして TLS 1.2 が有効になっているか確認する

ほとんどの場合、プロトコルの使用は、オペレーティング システム レベル、フレームワークまたはプラットフォーム レベル、アプリケーション レベルの 3 つのレベルで制御されます。 TLS 1.2 は、オペレーティング システム レベルで既定で有効になっています。 TLS 1.2 を有効にするように .NET レジストリ値が設定されていることを確認し、環境がネットワーク上の TLS 1.2 を適切に使用していることを確認したら、レジストリ キーを編集 SChannel\Protocols して、セキュリティが低い古いプロトコルを無効にすることができます。 TLS 1.0 および 1.1 を無効にする方法の詳細については、「 Windows レジストリでの Schannel プロトコルの構成」を参照してください。

TLS 1.2 をサポートするように .NET Framework を更新および構成する

.NET のバージョンを確認する

まず、インストールされている .NET のバージョンを確認します。 詳細については、「インストールされている Microsoft .NET Framework のバージョンおよび Service Pack のレベルを確認する」を参照してください。

.NET 更新プログラムのインストール

強力な暗号化を有効にできるように、.NET 更新プログラムをインストールします。 一部のバージョンの.NET Frameworkでは、強力な暗号化を有効にするために更新が必要になる場合があります。 次のガイドラインを使用してください:

  • NET Framework 4.6.2 以降では、TLS 1.1 と TLS 1.2 がサポートされています。 レジストリ設定を確認しますが、追加の変更は必要ありません。

    注:

    バージョン 2107 以降では、Configuration Managerでは、サイト サーバー、特定のサイト システム、クライアント、コンソールに Microsoft .NET Framework バージョン 4.6.2 が必要です。 環境で可能であれば、最新バージョンの .NET バージョン 4.8 をインストールします。

  • TLS 1.1 と TLS 1.2 をサポートするように NET Framework 4.6 以前のバージョンを更新します。 詳細については、「.NET Framework のバージョンおよび依存関係」を参照してください。

  • Windows 8.1、Windows Server 2012 R2、または Windows Server 2012 で .NET Framework 4.5.1 または 4.5.2 を使用している場合は、TLS 1.2 を適切に有効にするために、.Net Framework 4.5.1 および 4.5.2 の最新のセキュリティ更新プログラムをインストールすることを強くお勧めします。

    参考までに、TLS 1.2 は最初に .Net Framework 4.5.1 および 4.5.2 に導入され、次の修正プログラム ロールアップが含まれています。

強力な暗号化を構成する

強力な暗号化をサポートするように.NET Frameworkを構成します。 レジストリ設定を SchUseStrongCryptoDWORD:00000001設定します。 この値は RC4 ストリーム暗号を無効にし、再起動が必要です。 この設定の詳細については、「 Microsoft セキュリティ アドバイザリ 296038」を参照してください。

TLS 1.2 対応システムとネットワーク経由で通信するすべてのコンピューターで、次のレジストリ キーを設定してください。 たとえば、クライアントConfiguration Manager、サイト サーバーにインストールされていないリモート サイト システムの役割、サイト サーバー自体などです。

32 ビット OS で実行されている 32 ビット アプリケーションと、64 ビット OS で実行されている 64 ビット アプリケーションの場合は、次のサブキー値を更新します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64 ビット OS で実行されている 32 ビット アプリケーションの場合、次のサブキー値を更新します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

注:

この SchUseStrongCrypto 設定では、.NET で TLS 1.1 と TLS 1.2 を使用できます。 この SystemDefaultTlsVersions 設定を使用すると、.NET で OS 構成を使用できます。 詳細については、.NET Frameworkでの TLS のベスト プラクティスに関するページを参照してください。

SQL Serverおよびクライアント コンポーネントを更新する

Microsoft SQL Server 2016 以降では、TLS 1.1 と TLS 1.2 がサポートされています。 以前のバージョンと依存ライブラリでは、更新が必要な場合があります。 詳細については、「KB 3135244: MICROSOFT SQL Serverの TLS 1.2 サポート」を参照してください。

セカンダリ サイト サーバーでは、少なくとも SQL Server 2016 Express with Service Pack 2 (13.2.50.26) 以降を使用する必要があります。

SQL Server Native Client

注:

KB 3135244では、SQL Server クライアント コンポーネントの要件についても説明します。

また、SQL Server Native Clientを少なくともバージョン SQL Server 2012 SP4 (11.*.7001.0) に更新してください。 この要件は前提条件 のチェック (警告) です

Configuration Managerでは、次のサイト システムの役割でSQL Server Native Clientが使用されます。

  • サイト データベース サーバー
  • サイト サーバー: 中央管理サイト、プライマリ サイト、またはセカンダリ サイト
  • 管理ポイント
  • デバイス管理ポイント
  • 状態移行ポイント
  • SMS プロバイダー
  • ソフトウェアの更新ポイント
  • マルチキャスト対応配布ポイント
  • 資産インテリジェンス更新サービス ポイント
  • Reporting Services ポイント
  • 登録ポイント
  • Endpoint Protection ポイント
  • サービス接続ポイント
  • 証明書登録ポイント
  • データ ウェアハウス サービス ポイント

Automanage Machine Configuration と Azure Arc を使用して TLS 1.2 を大規模に有効にする

Azure、オンプレミス、またはマルチクラウド環境で実行されているマシンに対して、クライアントとサーバーの両方で TLS 1.2 を自動的に構成します。 マシン間での TLS 1.2 の構成を開始するには、 Azure Arc 対応サーバーを使用して TLS 1.2 を Azure に接続します。このサーバーには、既定でコンピューター構成の前提条件が付属しています。 接続されると、Azure Portal で組み込みのポリシー定義をデプロイすることで、ポイント アンド クリックの簡易性で TLS 1.2 を構成できます。Windows サーバーにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成します。 ポリシー スコープは、サブスクリプション、リソース グループ、または管理グループ レベルで割り当てることができ、ポリシー定義からリソースを除外することもできます。

構成が割り当てられた後、リソースのコンプライアンス状態を詳細に表示するには、[ゲストの割り当て] ページに移動し、影響を受けるリソースにスコープを設定します。

詳細な詳細なチュートリアルについては、「 Azure Arc と Automanage Machine Configuration を使用してサーバー TLS プロトコルを一貫してアップグレードする」を参照してください。

更新Windows Server Update Services (WSUS)

以前のバージョンの WSUS で TLS 1.2 をサポートするには、WSUS サーバーに次の更新プログラムをインストールします。

  • Windows Server 2012を実行している WSUS サーバーの場合は、更新プログラムの4022721以降のロールアップ更新プログラムをインストールします。

  • R2 Windows Server 2012実行している WSUS サーバーの場合は、更新プログラム 4022720以降のロールアップ更新プログラムをインストールします。

Windows Server 2016以降、WSUS では TLS 1.2 が既定でサポートされています。 TLS 1.2 更新プログラムは、Windows Server 2012および R2 WSUS サーバー Windows Server 2012でのみ必要です。

次の手順