TLS 1.2 inschakelen op clients

Van toepassing op: Configuration Manager (Current Branch)

Wanneer u TLS 1.2 inschakelt voor uw Configuration Manager omgeving, moet u ervoor zorgen dat de clients in staat en juist geconfigureerd zijn om TLS 1.2 te gebruiken voordat u TLS 1.2 inschakelt en de oudere protocollen op de siteservers en externe sitesystemen uitschakelt. Er zijn drie taken voor het inschakelen van TLS 1.2 op clients:

• Windows en WinHTTP bijwerken
• Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau
• De .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2

Zie Tls 1.2 inschakelen voor meer informatie over afhankelijkheden voor specifieke Configuration Manager functies en scenario's.

Windows en WinHTTP bijwerken

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 en latere versies van Windows bieden systeemeigen ondersteuning voor TLS 1.2 voor client-servercommunicatie via WinHTTP.

Eerdere versies van Windows, zoals Windows 7 of Windows Server 2012, schakelen TLS 1.1 of TLS 1.2 niet standaard in voor beveiligde communicatie met Behulp van WinHTTP. Voor deze eerdere versies van Windows installeert u Update 3140245 om de onderstaande registerwaarde in te schakelen. Deze kan worden ingesteld om TLS 1.1 en TLS 1.2 toe te voegen aan de standaardlijst met beveiligde protocollen voor WinHTTP. Wanneer de patch is geïnstalleerd, maakt u de volgende registerwaarden:

Belangrijk

Schakel deze instellingen in op alle clients met eerdere versies van Windows voordat u TLS 1.2 inschakelt en de oudere protocollen op de Configuration Manager servers uitschakelt. Anders kunt u ze per ongeluk verwees.

Controleer de waarde van de DefaultSecureProtocols registerinstelling, bijvoorbeeld:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Als u deze waarde wijzigt, start u de computer opnieuw op.

In het bovenstaande voorbeeld ziet u de waarde van 0xAA0 voor de instelling WinHTTP DefaultSecureProtocols . Bijwerken om TLS 1.1 en TLS 1.2 in te schakelen als standaard beveiligde protocollen in WinHTTP in Windows vermeldt de hexadecimale waarde voor elk protocol. In Windows is 0x0A0 deze waarde standaard om SSL 3.0 en TLS 1.0 in te schakelen voor WinHTTP. In het bovenstaande voorbeeld blijven deze standaardwaarden staan en worden tls 1.1 en TLS 1.2 ingeschakeld voor WinHTTP. Deze configuratie zorgt ervoor dat de wijziging geen andere toepassing onderbreekt die mogelijk nog steeds afhankelijk is van SSL 3.0 of TLS 1.0. U kunt de waarde van 0xA00 gebruiken om alleen TLS 1.1 en TLS 1.2 in te schakelen. Configuration Manager ondersteunt het veiligste protocol dat Windows tussen beide apparaten onderhandelt.

Als u SSL 3.0 en TLS 1.0 volledig wilt uitschakelen, gebruikt u de instelling SChannel uitgeschakelde protocollen in Windows. Zie Het gebruik van bepaalde cryptografische algoritmen en protocollen beperken in Schannel.dllvoor meer informatie.

Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau

Voor het grootste deel wordt het protocolgebruik beheerd op drie niveaus: het niveau van het besturingssysteem, het framework- of platformniveau en het toepassingsniveau. TLS 1.2 is standaard ingeschakeld op het niveau van het besturingssysteem. Zodra u ervoor hebt gezorgd dat de .NET-registerwaarden zijn ingesteld om TLS 1.2 in te schakelen en te controleren of de omgeving TLS 1.2 op het netwerk correct gebruikt, kunt u de SChannel\Protocols registersleutel bewerken om de oudere, minder veilige protocollen uit te schakelen. Zie Schannelprotocollen configureren in het Windows-register voor meer informatie over het uitschakelen van TLS 1.0 en 1.1.

De .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2

.NET-versie bepalen

Bepaal eerst de geïnstalleerde .NET-versies. Raadpleeg voor meer informatie Bepalen welke versies en servicepackniveaus van .NET Framework zijn geïnstalleerd.

.Net-updates installeren

Installeer de .NET-updates zodat u sterke cryptografie kunt inschakelen. Voor sommige versies van .NET Framework zijn mogelijk updates vereist om sterke cryptografie in te schakelen. Volg deze richtlijnen:

• NET Framework 4.6.2 en hoger ondersteunt TLS 1.1 en TLS 1.2. Bevestig de registerinstellingen, maar er zijn geen aanvullende wijzigingen vereist.

  Opmerking

  Vanaf versie 2107 vereist Configuration Manager Microsoft .NET Framework versie 4.6.2 voor siteservers, specifieke sitesystemen, clients en de console. Installeer indien mogelijk in uw omgeving de nieuwste versie van .NET versie 4.8.

• Werk NET Framework 4.6 en eerdere versies bij om TLS 1.1 en TLS 1.2 te ondersteunen. Raadpleeg .NET Framework versies en afhankelijkheden voor meer informatie.

• Als u .NET Framework 4.5.1 of 4.5.2 op Windows 8.1, Windows Server 2012 R2 of Windows Server 2012 gebruikt, wordt u ten zeerste aangeraden de nieuwste beveiligingsupdates voor .Net Framework 4.5.1 en 4.5.2 te installeren om ervoor te zorgen dat TLS 1.2 correct kan worden ingeschakeld.

  Ter referentie is TLS 1.2 voor het eerst geïntroduceerd in .Net Framework 4.5.1 en 4.5.2 met de volgende hotfix-rollups:

  • Voor Windows 8.1 en Server 2012 R2: Hotfix rollup 3099842
  • Voor Windows Server 2012: Hotfix-rollup 3099844

Configureren voor sterke cryptografie

Configureer .NET Framework om sterke cryptografie te ondersteunen. Stel de SchUseStrongCrypto registerinstelling in op DWORD:00000001. Met deze waarde wordt de RC4-stroomcodering uitgeschakeld en moet opnieuw worden gestart. Zie Microsoft Beveiligingsadvies 296038 voor meer informatie over deze instelling.

Zorg ervoor dat u de volgende registersleutels instelt op elke computer die via het netwerk communiceert met een TLS 1.2-systeem. Bijvoorbeeld Configuration Manager clients, externe sitesysteemrollen die niet zijn geïnstalleerd op de siteserver en de siteserver zelf.

Voor 32-bits toepassingen die worden uitgevoerd op 32-bits besturingssystemen en voor 64-bits toepassingen die worden uitgevoerd op 64-bits besturingssystemen, werkt u de volgende subsleutelwaarden bij:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Voor 32-bits toepassingen die worden uitgevoerd op 64-bits besturingssystemen, werkt u de volgende subsleutelwaarden bij:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Opmerking

Met de SchUseStrongCrypto instelling kan .NET TLS 1.1 en TLS 1.2 gebruiken. Met de SystemDefaultTlsVersions instelling kan .NET de configuratie van het besturingssysteem gebruiken. Zie BEST practices voor TLS met de .NET Framework voor meer informatie.

Volgende stappen

• TLS 1.2 inschakelen op de siteservers en externe sitesystemen
• Veelvoorkomende problemen bij het inschakelen van TLS 1.2