TLS 1.2 inschakelen op de siteservers en externe sitesystemen

  • Artikel

Van toepassing op: Configuration Manager (Current Branch)

Wanneer u TLS 1.2 inschakelt voor uw Configuration Manager-omgeving, begint u eerst met het inschakelen van TLS 1.2 voor de clients. Schakel vervolgens TLS 1.2 in op de siteservers en externe sitesystemen. Ten slotte test u de communicatie van de client naar het sitesysteem voordat u de oudere protocollen aan de serverzijde mogelijk uitschakelt. De volgende taken zijn nodig voor het inschakelen van TLS 1.2 op de siteservers en externe sitesystemen:

  • Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau
  • De .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2
  • SQL Server en clientonderdelen bijwerken
  • Windows Server Update Services (WSUS) bijwerken

Zie Tls 1.2 inschakelen voor meer informatie over afhankelijkheden voor specifieke Configuration Manager functies en scenario's.

Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau

Voor het grootste deel wordt het protocolgebruik beheerd op drie niveaus: het niveau van het besturingssysteem, het framework- of platformniveau en het toepassingsniveau. TLS 1.2 is standaard ingeschakeld op het niveau van het besturingssysteem. Zodra u ervoor hebt gezorgd dat de .NET-registerwaarden zijn ingesteld om TLS 1.2 in te schakelen en te controleren of de omgeving TLS 1.2 op het netwerk correct gebruikt, kunt u de SChannel\Protocols registersleutel bewerken om de oudere, minder veilige protocollen uit te schakelen. Zie Schannelprotocollen configureren in het Windows-register voor meer informatie over het uitschakelen van TLS 1.0 en 1.1.

De .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2

.NET-versie bepalen

Bepaal eerst de geïnstalleerde .NET-versies. Raadpleeg voor meer informatie Bepalen welke versies en servicepackniveaus van .NET Framework zijn geïnstalleerd.

.Net-updates installeren

Installeer de .NET-updates zodat u sterke cryptografie kunt inschakelen. Voor sommige versies van .NET Framework zijn mogelijk updates vereist om sterke cryptografie in te schakelen. Volg deze richtlijnen:

  • NET Framework 4.6.2 en hoger ondersteunt TLS 1.1 en TLS 1.2. Bevestig de registerinstellingen, maar er zijn geen aanvullende wijzigingen vereist.

    Opmerking

    Vanaf versie 2107 vereist Configuration Manager Microsoft .NET Framework versie 4.6.2 voor siteservers, specifieke sitesystemen, clients en de console. Installeer indien mogelijk in uw omgeving de nieuwste versie van .NET versie 4.8.

  • Werk NET Framework 4.6 en eerdere versies bij om TLS 1.1 en TLS 1.2 te ondersteunen. Raadpleeg .NET Framework versies en afhankelijkheden voor meer informatie.

  • Als u .NET Framework 4.5.1 of 4.5.2 op Windows 8.1, Windows Server 2012 R2 of Windows Server 2012 gebruikt, wordt u ten zeerste aangeraden de nieuwste beveiligingsupdates voor .Net Framework 4.5.1 en 4.5.2 te installeren om ervoor te zorgen dat TLS 1.2 correct kan worden ingeschakeld.

    Ter referentie is TLS 1.2 voor het eerst geïntroduceerd in .Net Framework 4.5.1 en 4.5.2 met de volgende hotfix-rollups:

Configureren voor sterke cryptografie

Configureer .NET Framework om sterke cryptografie te ondersteunen. Stel de SchUseStrongCrypto registerinstelling in op DWORD:00000001. Met deze waarde wordt de RC4-stroomcodering uitgeschakeld en moet opnieuw worden gestart. Zie Microsoft-beveiligingsadvies 296038 voor meer informatie over deze instelling.

Zorg ervoor dat u de volgende registersleutels instelt op elke computer die via het netwerk communiceert met een TLS 1.2-systeem. Bijvoorbeeld Configuration Manager clients, externe sitesysteemrollen die niet zijn geïnstalleerd op de siteserver en de siteserver zelf.

Voor 32-bits toepassingen die worden uitgevoerd op 32-bits besturingssystemen en voor 64-bits toepassingen die worden uitgevoerd op 64-bits besturingssystemen, werkt u de volgende subsleutelwaarden bij:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Voor 32-bits toepassingen die worden uitgevoerd op 64-bits besturingssystemen, werkt u de volgende subsleutelwaarden bij:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Opmerking

Met de SchUseStrongCrypto instelling kan .NET TLS 1.1 en TLS 1.2 gebruiken. Met de SystemDefaultTlsVersions instelling kan .NET de configuratie van het besturingssysteem gebruiken. Zie BEST practices voor TLS met de .NET Framework voor meer informatie.

SQL Server en clientonderdelen bijwerken

Microsoft SQL Server 2016 en hoger ondersteunen TLS 1.1 en TLS 1.2. Voor eerdere versies en afhankelijke bibliotheken zijn mogelijk updates vereist. Zie KB 3135244: TLS 1.2-ondersteuning voor Microsoft SQL Server voor meer informatie.

Secundaire siteservers moeten ten minste SQL Server 2016 Express met Service Pack 2 (13.2.50.26) of hoger gebruiken.

SQL Server Native Client

Opmerking

KB 3135244 beschrijft ook de vereisten voor SQL Server clientonderdelen.

Zorg ervoor dat u de SQL Server Native Client ook bijwerkt naar ten minste versie SQL Server 2012 SP4 (11.*.7001.0). Deze vereiste is een controle op vereisten (waarschuwing).

Configuration Manager gebruikt SQL Server Native Client op de volgende sitesysteemrollen:

  • Sitedatabaseserver
  • Siteserver: centrale beheersite, primaire site of secundaire site
  • Beheerpunt
  • Apparaatbeheerpunt
  • Statusmigratiepunt
  • SMS-provider
  • Software-updatepunt
  • Multicast-distributiepunt
  • Asset Intelligence-updateservicepunt
  • Reporting Services-punt
  • Inschrijvingspunt
  • Endpoint Protection-punt
  • Serviceverbindingspunt
  • Certificaatregistratiepunt
  • Datawarehouse-servicepunt

TLS 1.2 op schaal inschakelen met automatische machineconfiguratie en Azure Arc

Tls 1.2 wordt automatisch geconfigureerd voor zowel client als server voor machines die worden uitgevoerd in Azure, on-premises of omgevingen met meerdere clouds. Als u aan de slag wilt met het configureren van TLS 1.2 op uw computers, verbindt u ze met Azure met behulp van servers met Azure Arc, die standaard wordt geleverd met de machineconfiguratievereisten. Zodra tls 1.2 is verbonden, kan worden geconfigureerd met de eenvoud van punt-en-klik door de ingebouwde beleidsdefinitie te implementeren in Azure Portal: Veilige communicatieprotocollen configureren (TLS 1.1 of TLS 1.2) op Windows-servers. Het beleidsbereik kan worden toegewezen op het niveau van het abonnement, de resourcegroep of de beheergroep en alle resources uitsluiten van de beleidsdefinitie.

Nadat de configuratie is toegewezen, kan de nalevingsstatus van uw resources in detail worden bekeken door naar de pagina Gasttoewijzingen te navigeren en een bereik naar de betrokken resources te gaan.

Zie Consistent upgraden van het TLS-protocol van uw server met behulp van Azure Arc en Machineconfiguratie automatisch beheren voor een gedetailleerde, stapsgewijze zelfstudie.

Windows Server Update Services (WSUS) bijwerken

Installeer de volgende update op de WSUS-server om TLS 1.2 in eerdere versies van WSUS te ondersteunen:

  • Voor de WSUS-server waarop Windows Server 2012 wordt uitgevoerd, installeert u update 4022721 of een later updatepakket.

  • Voor de WSUS-server waarop Windows Server 2012 R2 wordt uitgevoerd, installeert u update 4022720 of een later updatepakket.

Vanaf Windows Server 2016 wordt TLS 1.2 standaard ondersteund voor WSUS. TLS 1.2-updates zijn alleen nodig op Windows Server 2012- en Windows Server 2012 R2 WSUS-servers.

Volgende stappen