Delen via


TLS 1.2 inschakelen op de siteservers en externe sitesystemen

Van toepassing op: Configuration Manager (Current Branch)

Wanneer u TLS 1.2 inschakelt voor uw Configuration Manager-omgeving, moet u eerst TLS 1.2 voor de clients inschakelen . Schakel vervolgens TLS 1.2 in op de siteservers en externe sitesystemen. Ten slotte test u de communicatie van de client naar het sitesysteem voordat u de oudere protocollen aan de serverzijde mogelijk uitschakelt. De volgende taken zijn nodig voor het inschakelen van TLS 1.2 op de siteservers en externe sitesystemen:

  • Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau
  • .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2
  • SQL Server- en clientonderdelen bijwerken
  • Windows Server Update Services (WSUS) bijwerken

Zie Tls 1.2 inschakelen voor meer informatie over afhankelijkheden voor specifieke Configuration Manager-functies en -scenario's.

Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau

Voor het grootste deel wordt het protocolgebruik beheerd op drie niveaus: het niveau van het besturingssysteem, het framework- of platformniveau en het toepassingsniveau. TLS 1.2 is standaard ingeschakeld op het niveau van het besturingssysteem. Zodra u ervoor hebt gezorgd dat de .NET-registerwaarden zijn ingesteld om TLS 1.2 in te schakelen en te controleren of de omgeving TLS 1.2 op het netwerk correct gebruikt, kunt u de SChannel\Protocols registersleutel bewerken om de oudere, minder veilige protocollen uit te schakelen. Zie Schannelprotocollen configureren in het Windows-register voor meer informatie over het uitschakelen van TLS 1.0 en 1.1.

.NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2

.NET-versie bepalen

Bepaal eerst de geïnstalleerde .NET-versies. Raadpleeg voor meer informatie Bepalen welke versies en servicepackniveaus van .NET Framework zijn geïnstalleerd.

.Net-updates installeren

Installeer de .NET-updates zodat u sterke cryptografie kunt inschakelen. Voor sommige versies van .NET Framework zijn mogelijk updates vereist om sterke cryptografie in te schakelen. Volg deze richtlijnen:

  • NET Framework 4.6.2 en hoger ondersteunt TLS 1.1 en TLS 1.2. Bevestig de registerinstellingen, maar er zijn geen aanvullende wijzigingen vereist.

    Opmerking

    Vanaf versie 2107 vereist Configuration Manager Microsoft .NET Framework versie 4.6.2 voor siteservers, specifieke sitesystemen, clients en de console. Installeer indien mogelijk in uw omgeving de nieuwste versie van .NET versie 4.8.

  • Werk NET Framework 4.6 en eerdere versies bij om TLS 1.1 en TLS 1.2 te ondersteunen. Raadpleeg .NET Framework versies en afhankelijkheden voor meer informatie.

  • Als u .NET Framework 4.5.1 of 4.5.2 op Windows 8.1, Windows Server 2012 R2 of Windows Server 2012 gebruikt, wordt u ten zeerste aangeraden de nieuwste beveiligingsupdates voor .Net Framework 4.5.1 en 4.5.2 te installeren om ervoor te zorgen dat TLS 1.2 correct kan worden ingeschakeld.

    Ter referentie is TLS 1.2 voor het eerst geïntroduceerd in .Net Framework 4.5.1 en 4.5.2 met de volgende hotfix-rollups:

Configureren voor sterke cryptografie

Configureer .NET Framework voor ondersteuning van sterke cryptografie. Stel de SchUseStrongCrypto registerinstelling in op DWORD:00000001. Met deze waarde wordt de RC4-stroomcodering uitgeschakeld en moet opnieuw worden gestart. Zie Microsoft-beveiligingsadvies 296038 voor meer informatie over deze instelling.

Zorg ervoor dat u de volgende registersleutels instelt op elke computer die via het netwerk communiceert met een TLS 1.2-systeem. Bijvoorbeeld Configuration Manager-clients, externe sitesysteemrollen die niet zijn geïnstalleerd op de siteserver en de siteserver zelf.

Voor 32-bits toepassingen die worden uitgevoerd op 32-bits besturingssystemen en voor 64-bits toepassingen die worden uitgevoerd op 64-bits besturingssystemen, werkt u de volgende subsleutelwaarden bij:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Voor 32-bits toepassingen die worden uitgevoerd op 64-bits besturingssystemen, werkt u de volgende subsleutelwaarden bij:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Opmerking

Met de SchUseStrongCrypto instelling kan .NET TLS 1.1 en TLS 1.2 gebruiken. Met de SystemDefaultTlsVersions instelling kan .NET de configuratie van het besturingssysteem gebruiken. Zie Best practices voor TLS met .NET Framework voor meer informatie.

SQL Server- en clientonderdelen bijwerken

Microsoft SQL Server 2016 en hoger ondersteunen TLS 1.1 en TLS 1.2. Eerdere versies en afhankelijke bibliotheken vereisen mogelijk updates. Zie KB 3135244: TLS 1.2-ondersteuning voor Microsoft SQL Server voor meer informatie.

Secundaire siteservers moeten ten minste SQL Server 2016 Express gebruiken met Service Pack 2 (13.2.50.26) of hoger.

SQL Server Native Client

Opmerking

KB 3135244 beschrijft ook de vereisten voor SQL Server-clientonderdelen.

Zorg ervoor dat u ook de SQL Server Native Client bijwerkt naar ten minste versie SQL Server 2012 SP4 (11.*.7001.0). Deze vereiste is een controle op vereisten (waarschuwing).

Configuration Manager maakt gebruik van sql Server Native Client op de volgende sitesysteemrollen:

  • Sitedatabaseserver
  • Siteserver: centrale beheersite, primaire site of secundaire site
  • Beheerpunt
  • Apparaatbeheerpunt
  • Statusmigratiepunt
  • SMS-provider
  • Software-updatepunt
  • Multicast-distributiepunt
  • Asset Intelligence-updateservicepunt
  • Reporting Services-punt
  • Inschrijvingspunt
  • Endpoint Protection-punt
  • Serviceverbindingspunt
  • Certificaatregistratiepunt
  • Datawarehouse-servicepunt

TLS 1.2 op schaal inschakelen met automatische machineconfiguratie en Azure Arc

Tls 1.2 wordt automatisch geconfigureerd voor zowel client als server voor machines die worden uitgevoerd in Azure, on-premises of omgevingen met meerdere clouds. Als u aan de slag wilt met het configureren van TLS 1.2 op uw computers, verbindt u ze met Azure met behulp van servers met Azure Arc, die standaard wordt geleverd met de vereiste machineconfiguratie. Zodra tls 1.2 is verbonden, kan worden geconfigureerd met de eenvoud van punt-en-klik door de ingebouwde beleidsdefinitie te implementeren in Azure Portal: Veilige communicatieprotocollen (TLS 1.1 of TLS 1.2) op Windows-servers configureren. Het beleidsbereik kan worden toegewezen op het niveau van het abonnement, de resourcegroep of de beheergroep en alle resources uitsluiten van de beleidsdefinitie.

Nadat de configuratie is toegewezen, kan de nalevingsstatus van uw resources in detail worden weergegeven door naar de pagina Gasttoewijzingen te navigeren en het bereik naar de betrokken resources te beperken.

Zie Consistent upgraden van het TLS-protocol van uw server met behulp van Azure Arc en Machineconfiguratie automatisch beheren voor een gedetailleerde, stapsgewijze zelfstudie.

Windows Server Update Services (WSUS) bijwerken

TLS 1.2 wordt standaard ondersteund voor WSUS op alle momenteel ondersteunde versies van Windows Server.

Installeer de volgende update op de WSUS-server om TLS 1.2 in eerdere versies van WSUS te ondersteunen:

  • Voor WSUS-server waarop Windows Server 2012 wordt uitgevoerd, installeert u update 4022721 of een later updatepakket.

  • Voor WSUS-server waarop Windows Server 2012 R2 wordt uitgevoerd, installeert u update 4022720 of een later updatepakket.

Opmerking

Op 10 oktober 2023 zijn Windows Server 2012 en Windows Server 2012 R2 in de fase uitgebreide ondersteuningsupdates opgenomen. Microsoft biedt geen ondersteuning meer voor Configuration Manager-siteservers of -rollen die op deze besturingssystemen zijn geïnstalleerd. Zie Uitgebreide beveiligingsupdates en Configuration Manager voor meer informatie.

Volgende stappen