전송 계층 보안 1.2를 구현하는 방법

이 문서에서는 System Center Operations Manager 관리 그룹에 대해 TLS(전송 계층 보안) 프로토콜 버전 1.2를 사용하도록 설정하는 방법을 설명합니다.

참고

Operations Manager는 운영 체제 수준에서 구성된 프로토콜을 사용합니다. 예를 들어 운영 체제 수준에서 TLS 1.0, TLS 1.1, TLS 1.2를 사용하도록 설정한 경우 Operations Manager는 다음 기본 설정 순서로 세 가지 프로토콜 중 하나를 선택합니다.

1. TLS 버전 1.2
2. TLS 버전 1.1
3. TLS 버전 1.0

그다음에 Schannel SSP는 클라이언트와 서버에서 지원할 수 있는 가장 우선하는 인증 프로토콜을 선택합니다.

TLS 프로토콜 버전 1.2를 사용하려면 다음 단계를 수행합니다.

1. 모든 관리 서버 및 웹 콘솔 서버에 Microsoft OLE DB 드라이버 버전 18.2~18.6.7 이상을 설치합니다.
2. 모든 관리 서버, 게이트웨이 서버, 웹 콘솔 서버 그리고 Operations Manager 데이터베이스 및 보고 서버 역할을 호스팅하는 SQL Server에 .NET Framework 4.6을 설치합니다.
3. TLS 1.2를 지원하는 필수 SQL Server 업데이트를 설치합니다.
4. 모든 관리 서버에 ODBC 드라이버 버전 17.3~17.10.5 이상을 설치합니다.
5. TLS 1.2만 사용하도록 Windows를 구성합니다.
6. TLS 1.2만 사용하도록 Operations Manager를 구성합니다.

Operations Manager는 SHA1 및 SHA2 자체 서명된 인증서를 생성합니다. TLS 1.2를 사용하는 것은 필수입니다. CA 서명된 인증서를 사용하는 경우 인증서가 SHA1 또는 SHA2인지 확인합니다.

TLS 1.2 프로토콜만 사용하도록 Windows 운영 체제 구성

TLS 1.2 프로토콜만 사용하도록 Windows를 구성하려면 다음 방법 중 하나를 사용합니다.

방법 1: 레지스트리 수동 수정

중요

이 섹션의 단계를 신중하게 따릅니다. 레지스트리를 잘못 수정할 경우 심각한 문제가 발생할 수 있습니다. 수정하기 전에 문제가 발생할 경우 복원을 위해 레지스트리를 백업합니다.

다음 단계를 사용해 모든 SCHANNEL 프로토콜 시스템 전체를 활성화/비활성화합니다. 모든 들어오는 통신 및 나가는 통신에 TLS 1.2 프로토콜을 사용하도록 설정하는 것이 좋습니다.

참고

이러한 레지스트리를 변경해도 Kerberos 또는 NTLM 프로토콜의 사용에는 영향을 주지 않습니다.

1. 로컬 관리 자격 증명이 있는 계정을 사용하여 서버에 로그인합니다.

2. 시작을 선택하고 길게 눌러 레지스트리 편집기 시작하고, 실행 텍스트 상자에 regedit를 입력하고, 확인을 선택합니다.

3. 레지스트리 하위 키를 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols찾습니다.

4. SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 및 TLS 1.2용 프로토콜 아래에 하위 키를 만듭니다.

5. 이전에 만든 각 프로토콜 버전 하위 키 아래 클라이언트 및 서버 하위 키를 만듭니다. 예를 들어 TLS 1.0의 하위 키는 및 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server입니다HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client.

6. 각 프로토콜을 사용하지 않으려면 서버 및 클라이언트 아래에 다음 DWORD 값을 만듭니다.

   • 활성화됨 [값 = 0]
   • DisabledByDefault [값 = 1]

7. TLS 1.2 프로토콜을 사용하도록 설정하려면 및 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server아래에 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client 다음 DWORD 값을 만듭니다.

   • 사용 [값 = 1]
   • DisabledByDefault [값 = 0]

8. 레지스트리 편집기를 엽니다.

방법 2: 레지스트리 자동 수정

다음 Windows PowerShell 스크립트를 관리자 권한으로 실행하여 TLS 1.2 프로토콜만 사용하도록 Windows 운영 체제를 자동으로 구성합니다.

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

TLS 1.2만 사용하도록 Operations Manager 구성

Operations Manager의 모든 전제 조건을 구성한 후, 모든 관리 서버, 웹 콘솔 역할을 호스트하는 서버, 그리고 에이전트가 설치된 모든 Windows 컴퓨터에서 다음 단계를 수행합니다.

중요

이 섹션의 단계를 신중하게 따릅니다. 레지스트리를 잘못 수정할 경우 심각한 문제가 발생할 수 있습니다. 수정하기 전에 문제가 발생할 경우 복원을 위해 레지스트리를 백업합니다.

레지스트리 수동 수정

1. 로컬 관리 자격 증명이 있는 계정을 사용하여 서버에 로그인합니다.
2. 시작을 선택하고 길게 눌러 레지스트리 편집기 시작하고실행 텍스트 상자에 regedit를 입력한 다음 확인을 선택합니다.
3. 레지스트리 하위 키를 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319찾습니다.
4. 이 하위 키 아래에 값 1을 사용하는 DWORD 값 SchUseStrongCrypto를 만듭니다.
5. 레지스트리 하위 키를 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319찾습니다.
6. 이 하위 키 아래에 값 1을 사용하는 DWORD 값 SchUseStrongCrypto를 만듭니다.
7. 시스템을 다시 시작하여 설정을 적용합니다.

레지스트리 자동 수정

관리자 모드에서 다음 Windows PowerShell 스크립트를 실행하여 TLS 1.2 프로토콜만 사용하도록 Operations Manager를 자동으로 구성합니다.

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

추가 설정

Operations Manager와 함께 지원되는 Linux 서버 버전을 모니터링하는 경우 적절한 웹사이트의 지시를 따라 배포판이 TLS 1.2를 구성하게 합니다.

Audit Collection Services

ACS(Audit Collection Services)의 경우 ACS 수집기 서버에서 레지스트리에 추가 변경을 해야 합니다. ACS는 DSN을 사용해 데이터베이스에 연결합니다. TLS 1.2에 대해 DSN 설정이 작동하게 하려면 DSN 설정을 업데이트해야 합니다.

1. 로컬 관리 자격 증명이 있는 계정을 사용하여 서버에 로그인합니다.

2. 시작을 선택하고 길게 눌러 레지스트리 편집기 시작하고, 실행 텍스트 상자에 regedit를 입력하고, 확인을 선택합니다.

3. OpsMgrAC HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC에 대한 ODBC 하위 키를 찾습니다.

   참고

   DSN의 기본 이름은 OpsMgrAC입니다.

4. ODBC 데이터 원본 하위 키 아래에서 DSN 이름 OpsMgrAC을 선택합니다. 여기에는 데이터베이스 연결에 사용할 ODBC 드라이버의 이름이 포함됩니다. ODBC 17이 설치된 경우 이 이름을 SQL Server ODBC Driver 17로 변경합니다.

5. OpsMgrAC 하위 키에서 설치된 ODBC 버전의 드라이버를 업데이트합니다.

   • ODBC 17이 설치된 경우 드라이버 항목을 로 변경합니다 %WINDIR%\system32\msodbcsql17.dll.

   레지스트리 파일

   또는 메모장 또는 다른 텍스트 편집기에서 다음 .reg 파일을 만들고 저장합니다. 저장된 .reg 파일을 실행하려면 파일을 두 번 클릭합니다.

   • ODBC 17의 경우 다음 ODBC 17.reg 파일을 만듭니다.

     Windows Registry Editor Version 5.00
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
     "OpsMgrAC"="ODBC Driver 17 for SQL Server"
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
     "Driver"="%WINDIR%\system32\msodbcsql17.dll"
     

   PowerShell

   또는 다음 PowerShell 명령을 실행하여 변경을 자동화할 수 있습니다.

   • ODBC 17의 경우 다음 PowerShell 명령을 실행합니다.

     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
     

다음 단계

• 사용되는 포트의 전체 목록, 통신 방향 및 포트 구성 가능 여부는 Operations Manager의 방화벽 구성을 참조하세요.

• 관리 그룹의 구성 요소 간 데이터를 보호하는 방법에 대한 전반적인 검토는 Operations Manager의 인증 및 데이터 암호화를 참조하세요.