トランスポート層セキュリティ 1.2 の実装方法

この記事では、System Center Operations Manager 管理グループに対してトランスポート層セキュリティ (TLS) プロトコル バージョン 1.2 を有効にする方法について説明します。

Note

Operations Manager では、オペレーティング システム レベルで構成されたプロトコルが使用されます。 たとえば、TLS 1.0、TLS 1.1、TLS 1.2 がオペレーティング システム レベルで有効になっている場合、Operations Manager では次の優先順で 3 つのプロトコルのいずれかが選択されます。

1. TLS バージョン 1.2
2. TLS バージョン 1.1
3. TLS バージョン 1.0

次に、Schannel SSP によって、クライアントとサーバーがサポートできる最も優先順位の高い認証プロトコルが選択されます。

次の手順で TLS プロトコル バージョン 1.2 を有効にします。

1. Microsoft OLE DB Driver バージョン 18.2 から 18.6.7 以降をすべての管理サーバーと Web コンソール サーバーにインストールします。
2. すべての管理サーバー、ゲートウェイ サーバー、Web コンソール サーバー、Operations Manager データベースとレポート サーバー ロールをホストする SQL Server に、.NET Framework 4.6 をインストールします。
3. TLS 1.2 をサポートする必須の SQL Server の更新プログラムをインストールします。
4. ODBC Driver バージョン 17.3 から 17.10.5 以降をすべての管理サーバーにインストールします。
5. TLS 1.2 のみを使用するように Windows を構成します。
6. TLS 1.2 のみを使用するように Operations Manager を構成します。

Operations Manager から SHA1 および SHA2 の自己署名証明書が生成されます。 この証明書は TLS 1.2 を有効にするために必要です。 CA 署名付き証明書を使用する場合は、証明書が SHA1 または SHA2 であることを確認します。

TLS 1.2 プロトコルのみを使用するように Windows オペレーティング システムを構成する

次のいずれかの方法を使用して、TLS 1.2 プロトコルのみを使用するように Windows を構成します。

方法 1: 手動でレジストリを変更する

重要

慎重にこのセクションの手順に従います。 レジストリを正しく変更しないと、重大な問題が発生する可能性があります。 変更する前に、問題が発生した場合に復元できるように、レジストリをバックアップしておいてください。

次の手順で、システム全体ですべての SCHANNEL プロトコルを有効または無効にします。 着信と発信のすべての通信で TLS 1.2 プロトコルを有効にすることをお勧めします。

Note

これらのレジストリを変更しても、Kerberos または NTLM プロトコルの使用には影響しません。

1. ローカルの管理者資格情報を持つアカウントを使用して、サーバーにサインインします。

2. [スタート] を選択して [レジストリのエディターを開始し、[実行] ボックスに「regedit」と入力し、[OK] を選択します。

3. 次のレジストリ サブキーを見つけます: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols。

4. Protocols 以下に SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、および TLS 1.2 のサブキーを作成します。

5. 前の手順で作成した各プロトコル バージョンのサブキー以下に Client および Server のサブキーを作成します。 たとえば、TLS 1.0 のサブキーは と HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\ServerになりますHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client。

6. 各プロトコルを無効にするには、Server と Client 以下に次の DWORD 値を作成します。

   • Enabled [値 = 0]
   • DisabledByDefault [値 = 1]

7. TLS 1.2 プロトコルを有効にするには、 と HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Serverの下に次の DWORD 値をHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client作成します。

   • Enabled [値 = 1]
   • DisabledByDefault [値 = 0]

8. レジストリ エディターを閉じます。

方法 2: レジストリを自動的に変更する

管理者として次のWindows PowerShell スクリプトを実行して、TLS 1.2 プロトコルのみを使用するように Windows オペレーティング システムを自動的に構成します。

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

TLS 1.2 のみを使用するように Operations Manager を構成する

Operations Manager のすべての前提条件の構成が完了したら、すべての管理サーバー、Web コンソール ロールをホストするサーバー、エージェントがインストールされている任意の Windows コンピューター上で次の手順を実行します。

重要

慎重にこのセクションの手順に従います。 レジストリを正しく変更しないと、重大な問題が発生する可能性があります。 変更する前に、問題が発生した場合に復元できるようにレジストリをバックアップしておいてください。

手動でレジストリを変更する

1. ローカルの管理者資格情報を持つアカウントを使用して、サーバーにサインインします。
2. [スタート] を選択して長押ししてレジストリ エディターを開始し、[実行] ボックスに「regedit」と入力し、[OK] を選択します。
3. 次のレジストリ サブキーを見つけます: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319。
4. このサブキーの下に、DWORD 値 SchUseStrongCrypto を値 1 で作成します。
5. 次のレジストリ サブキーを見つけます: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319。
6. このサブキーの下に、DWORD 値 SchUseStrongCrypto を値 1 で作成します。
7. 設定を有効にするためにシステムを再起動します。

レジストリを自動的に変更する

管理者モードで次のWindows PowerShell スクリプトを実行して、TLS 1.2 プロトコルのみを使用するように Operations Manager を自動的に構成します。

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

追加設定

サポートされているバージョンの Linux サーバーを Operations Manager で監視している場合は、ディストリビューションの該当する Web サイトの指示に従って TLS 1.2 を構成してください。

監査コレクション サービス

監査コレクション サービス (ACS) の場合は、ACS コレクター サーバーのレジストリをさらに変更する必要があります。 ACS は DSN を使用してデータベースに接続します。 TLS 1.2 で機能するように DSN 設定を更新する必要があります。

1. ローカルの管理者資格情報を持つアカウントを使用して、サーバーにサインインします。

2. [スタート] を選択し、長押しして [レジストリ エディターを開始し、[実行] ボックスに「regedit」と入力して、[OK] を選択します。

3. OpsMgrAC の ODBC サブキーを見つけます。 HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC

   Note

   DSN の既定の名前は OpsMgrAC です。

4. ODBC Data Sources サブキーで、DSN 名 OpsMgrAC を選択します。 これには、データベース接続に使用する ODBC ドライバーの名前が含まれます。 ODBC 17 がインストールされている場合は、この名前を ODBC Driver 17 for SQL Serverに変更します。

5. OpsMgrAC サブキーで、インストールされている ODBC バージョンのドライバーを更新します。

   • ODBC 17 がインストールされている場合は、[ドライバー] エントリを に %WINDIR%\system32\msodbcsql17.dll変更します。

   レジストリ ファイル

   または、次の .reg ファイルをメモ帳または別のテキスト エディターに作成して保存します。 保存した .reg ファイルを実行するには、ファイルをダブルクリックします。

   • ODBC 17 の場合は、次の ODBC 17.reg ファイルを作成します。

     Windows Registry Editor Version 5.00
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
     "OpsMgrAC"="ODBC Driver 17 for SQL Server"
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
     "Driver"="%WINDIR%\system32\msodbcsql17.dll"
     

   PowerShell

   または、次の PowerShell コマンドを実行して変更を自動化することもできます。

   • ODBC 17 の場合は、次の PowerShell コマンドを実行します。

     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
     

次のステップ

• 使用するポート、通信方向、ポートの構成が可能かどうかを示した一覧については、「Operations Manager 用のファイアウォールの構成」を参照してください。

• 管理グループ内のコンポーネント間でデータがどのように保護されているかを全体的に確認する方法については、「Operations Manager での認証とデータ暗号化」を参照してください。