사이트 서버 및 원격 사이트 시스템에서 TLS 1.2를 사용하도록 설정하는 방법
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 환경에 TLS 1.2를 사용하도록 설정하는 경우 먼저 클라이언트에 TLS 1.2를 사용하도록 설정합니다 . 그런 다음 사이트 서버 및 원격 사이트 시스템에서 TLS 1.2를 두 번째로 사용하도록 설정합니다. 마지막으로 서버 쪽에서 이전 프로토콜을 사용하지 않도록 설정하기 전에 클라이언트에서 사이트 시스템 통신을 테스트합니다. 사이트 서버 및 원격 사이트 시스템에서 TLS 1.2를 사용하도록 설정하려면 다음 작업이 필요합니다.
- 운영 체제 수준에서 TLS 1.2가 SChannel에 대한 프로토콜로 사용하도록 설정되어 있는지 확인합니다.
- TLS 1.2를 지원하도록 .NET Framework 업데이트 및 구성
- SQL Server 및 클라이언트 구성 요소 업데이트
- WSUS(Windows Server Update Services) 업데이트
특정 Configuration Manager 기능 및 시나리오에 대한 종속성에 대한 자세한 내용은 TLS 1.2 사용 설정을 참조하세요.
운영 체제 수준에서 TLS 1.2가 SChannel에 대한 프로토콜로 사용하도록 설정되어 있는지 확인합니다.
대부분의 경우 프로토콜 사용은 운영 체제 수준, 프레임워크 또는 플랫폼 수준 및 애플리케이션 수준의 세 가지 수준에서 제어됩니다. TLS 1.2는 운영 체제 수준에서 기본적으로 사용하도록 설정됩니다. .NET 레지스트리 값이 TLS 1.2를 사용하도록 설정되어 있고 환경에서 네트워크에서 TLS 1.2를 제대로 활용하고 있는지 확인한 후에는 레지스트리 키를 편집 SChannel\Protocols
하여 덜 안전한 이전 프로토콜을 사용하지 않도록 설정할 수 있습니다. TLS 1.0 및 1.1을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Windows 레지스트리에서 Schannel 프로토콜 구성을 참조하세요.
TLS 1.2를 지원하도록 .NET Framework 업데이트 및 구성
.NET 버전 확인
먼저 설치된 .NET 버전을 확인합니다. 자세한 설치된 .NET Framework의 버전 및 서비스 팩 수준 확인을 참조하세요.
.NET 업데이트 설치
강력한 암호화를 사용하도록 설정할 수 있도록 .NET 업데이트를 설치합니다. 일부 버전의 .NET Framework는 강력한 암호화를 사용하도록 설정하기 위해 업데이트가 필요할 수 있습니다. 다음의 가이드라인을 사용하세요.
NET Framework 4.6.2 이상에서는 TLS 1.1 및 TLS 1.2를 지원합니다. 레지스트리 설정을 확인하지만 추가 변경은 필요하지 않습니다.
참고
버전 2107부터 Configuration Manager에는 사이트 서버, 특정 사이트 시스템, 클라이언트 및 콘솔용 Microsoft .NET Framework 버전 4.6.2가 필요합니다. 사용자 환경에서 가능하면 최신 버전의 .NET 버전 4.8을 설치합니다.
TLS 1.1 및 TLS 1.2를 지원하도록 NET Framework 4.6 및 이전 버전을 업데이트합니다. 자세한 내용은 .NET Framework 버전 및 종속성을 참조하세요.
Windows 8.1, Windows Server 2012 R2 또는 Windows Server 2012에서 .NET Framework 4.5.1 또는 4.5.2를 사용하는 경우 TLS 1.2를 올바르게 사용하도록 설정하려면 .Net Framework 4.5.1 및 4.5.2에 대한 최신 보안 업데이트를 설치하는 것이 좋습니다.
참조를 위해 TLS 1.2는 다음 핫픽스 롤업과 함께 .Net Framework 4.5.1 및 4.5.2에 처음 도입되었습니다.
- Windows 8.1 및 Server 2012 R2의 경우: 핫픽스 롤업 3099842
- Windows Server 2012: 핫픽스 롤업 3099844
강력한 암호화를 위한 구성
강력한 암호화를 지원하도록 .NET Framework를 구성합니다. 레지스트리 설정을 DWORD:00000001
로 SchUseStrongCrypto
설정합니다. 이 값은 RC4 스트림 암호화를 사용하지 않도록 설정하고 다시 시작해야 합니다. 이 설정에 대한 자세한 내용은 Microsoft 보안 공지 296038 참조하세요.
TLS 1.2 사용 시스템과 네트워크를 통해 통신하는 모든 컴퓨터에서 다음 레지스트리 키를 설정해야 합니다. 예를 들어 Configuration Manager 클라이언트, 사이트 서버에 설치되지 않은 원격 사이트 시스템 역할 및 사이트 서버 자체.
32비트 OS에서 실행되는 32비트 애플리케이션 및 64비트 OS에서 실행되는 64비트 애플리케이션의 경우 다음 하위 키 값을 업데이트합니다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
64비트 OS에서 실행되는 32비트 응용 프로그램의 경우 다음 하위 키 값을 업데이트하세요.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
참고
이 SchUseStrongCrypto
설정을 사용하면 .NET에서 TLS 1.1 및 TLS 1.2를 사용할 수 있습니다. 설정을 SystemDefaultTlsVersions
사용하면 .NET에서 OS 구성을 사용할 수 있습니다. 자세한 내용은 .NET Framework를 사용하는 TLS 모범 사례를 참조하세요.
SQL Server 및 클라이언트 구성 요소 업데이트
Microsoft SQL Server 2016 이상에서는 TLS 1.1 및 TLS 1.2를 지원합니다. 이전 버전 및 종속 라이브러리에는 업데이트가 필요할 수 있습니다. 자세한 내용은 KB 3135244: Microsoft SQL Server에 대한 TLS 1.2 지원을 참조하세요.
보조 사이트 서버는 서비스 팩 2(13.2.50.26) 이상에서 SQL Server 2016 Express 이상을 사용해야 합니다.
SQL Server Native Client
참고
KB 3135244 SQL Server 클라이언트 구성 요소에 대한 요구 사항도 설명합니다.
SQL Server Native Client도 SQL Server 2012 SP4 버전 이상(11.*.7001.0)으로 업데이트해야 합니다. 이 요구 사항은 필수 구성 요소 검사(경고)입니다.
Configuration Manager는 다음 사이트 시스템 역할에서 SQL Server Native Client를 사용합니다.
- 사이트 데이터베이스 서버
- 사이트 서버: 중앙 관리 사이트, 기본 사이트 또는 보조 사이트
- 관리 포인트
- 디바이스 관리 지점
- 상태 마이그레이션 지점
- SMS 공급자
- 소프트웨어 업데이트 지점
- 멀티캐스트 사용 배포 지점
- Asset Intelligence 업데이트 서비스 지점
- 보고 서비스 지점
- 등록 지점
- Endpoint Protection 지점
- 서비스 연결 지점
- 인증서 등록 지점
- 데이터 웨어하우스 서비스 지점
Automanage Machine Configuration 및 Azure Arc를 사용하여 TLS 1.2를 대규모로 사용하도록 설정
Azure, 온-프레미스 또는 다중 클라우드 환경에서 실행되는 머신에 대해 클라이언트와 서버 모두에서 TLS 1.2를 자동으로 구성합니다. 머신에서 TLS 1.2 구성을 시작하려면 기본적으로 컴퓨터 구성 필수 구성과 함께 제공되는 Azure Arc 지원 서버를 사용하여 Azure에 연결합니다. 연결되면 Azure Portal: Windows 서버에서 보안 통신 프로토콜 구성(TLS 1.1 또는 TLS 1.2)에서 기본 제공 정책 정의를 배포하여 포인트 앤 클릭 단순성으로 TLS 1.2를 구성할 수 있습니다. 정책 범위는 구독, 리소스 그룹 또는 관리 그룹 수준에서 할당할 수 있을 뿐만 아니라 정책 정의에서 리소스를 제외할 수 있습니다.
구성이 할당된 후 게스트 할당 페이지로 이동하여 영향을 받는 리소스로 범위를 지정하여 리소스의 준수 상태를 자세히 볼 수 있습니다.
자세한 단계별 자습서는 Azure Arc 및 Automanage Machine Configuration을 사용하여 서버 TLS 프로토콜을 일관되게 업그레이드를 참조하세요.
WSUS(Windows Server Update Services) 업데이트
TLS 1.2는 현재 지원되는 모든 Windows Server 버전에서 WSUS에 대해 기본적으로 지원됩니다.
이전 버전의 WSUS에서 TLS 1.2를 지원하려면 WSUS 서버에 다음 업데이트를 설치합니다.
Windows Server 2012를 실행하는 WSUS 서버의 경우 업데이트 4022721 이상 롤업 업데이트를 설치합니다.
Windows Server 2012 R2를 실행하는 WSUS 서버의 경우 업데이트 4022720 이상 롤업 업데이트를 설치합니다.
참고
2023년 10월 10일에 Windows Server 2012 및 Windows Server 2012 R2가 추가 지원 업데이트 단계에 들어갔습니다. Microsoft는 더 이상 이러한 운영 체제에 설치된 Configuration Manager 사이트 서버 또는 역할에 대한 지원을 제공하지 않습니다. 자세한 내용은 확장 보안 업데이트 및 구성 관리자를 참조하세요.