Transport Layer Security 1.2 implementeren

In dit artikel wordt beschreven hoe u TLS-protocolversie 1.2 (Transport Layer Security) inschakelt voor een System Center Operations Manager-beheergroep.

Notitie

Operations Manager gebruikt het protocol dat is geconfigureerd op het niveau van het besturingssysteem. Als TLS 1.0, TLS 1.1 en TLS 1.2 bijvoorbeeld zijn ingeschakeld op het niveau van het besturingssysteem, selecteert Operations Manager een van de drie protocollen in de volgende volgorde van voorkeur:

1. TLS versie 1.2
2. TLS-versie 1.1
3. TLS-versie 1.0

De Schannel-SSP selecteert vervolgens het meest gewenste verificatieprotocol dat de client en server kunnen ondersteunen.

Voer de volgende stappen uit om TLS-protocolversie 1.2 in te schakelen:

1. Installeer Microsoft OLE DB-stuurprogrammaversie 18.2 tot 18.6.7 of hoger op alle beheerservers en de webconsoleserver.
2. Installeer .NET Framework 4.6 op alle beheerservers, gatewayservers, webconsoleservers en SQL Server als host voor de Operations Manager-databases en de rapportageserverfunctie.
3. Installeer de vereiste SQL Server update die ONDERSTEUNING biedt voor TLS 1.2.
4. Installeer ODBC-stuurprogrammaversie 17.3 tot 17.10.5 of hoger op alle beheerservers.
5. Configureer Windows om alleen TLS 1.2 te gebruiken.
6. Configureer Operations Manager om alleen TLS 1.2 te gebruiken.

Operations Manager genereert zelfondertekende SHA1- en SHA2-certificaten. Dit is vereist om TLS 1.2 in te schakelen. Als ca-ondertekende certificaten worden gebruikt, moet u ervoor zorgen dat de certificaten SHA1 of SHA2 zijn.

Windows-besturingssysteem configureren om alleen het TLS 1.2-protocol te gebruiken

Gebruik een van de volgende methoden om Windows zo te configureren dat alleen het TLS 1.2-protocol wordt gebruikt.

Methode 1: Het register handmatig wijzigen

Belangrijk

Volg de stappen in deze sectie zorgvuldig. Als u het register verkeerd bewerkt, kan dat voor ernstige problemen zorgen. Voordat u het register wijzigt, maakt u er een back-up van zodat u het kunt herstellen voor het geval er problemen optreden.

Gebruik de volgende stappen om alle SCHANNEL-protocollen systeembreed in of uit te schakelen. U wordt aangeraden het TLS 1.2-protocol in te schakelen voor alle binnenkomende en uitgaande communicatie.

Notitie

Het aanbrengen van deze registerwijzigingen heeft geen invloed op het gebruik van Kerberos- of NTLM-protocollen.

1. Meld u aan bij de server met een account met lokale beheerdersreferenties.

2. Start Register Editor door Start te selecteren en ingedrukt te houden, voer regedit in het tekstvak Uitvoeren in en selecteer OK.

3. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

4. Maak een subsleutel onder Protocollen voor SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 en TLS 1.2.

5. Maak een client - en serversubsleutel onder elke subsleutel van de protocolversie die u eerder hebt gemaakt. De subsleutel voor TLS 1.0 is HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client bijvoorbeeld en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

6. Als u elk protocol wilt uitschakelen, maakt u de volgende DWORD-waarden onder Server en client:

   • Ingeschakeld [Waarde = 0]
   • DisabledByDefault [Waarde = 1]

7. Als u het TLS 1.2-protocol wilt inschakelen, maakt u de volgende DWORD-waarden onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

   • Ingeschakeld [Waarde = 1]
   • DisabledByDefault [Waarde = 0]

8. Sluit de Register-editor.

Methode 2: Het register automatisch wijzigen

Voer het volgende Windows PowerShell script uit als Administrator om uw Windows-besturingssysteem automatisch te configureren voor het gebruik van alleen het TLS 1.2-protocol:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Operations Manager configureren om alleen TLS 1.2 te gebruiken

Nadat u de configuratie van alle vereisten voor Operations Manager hebt voltooid, voert u de volgende stappen uit op alle beheerservers, de server die als host fungeert voor de webconsolerol en op elke Windows-computer waarop de agent is geïnstalleerd.

Belangrijk

Volg de stappen in deze sectie zorgvuldig. Als u het register verkeerd bewerkt, kan dat voor ernstige problemen zorgen. Voordat u wijzigingen aanbrengt, maakt u een back-up van het register voor herstel voor het geval er problemen optreden.

Het register handmatig wijzigen

1. Meld u aan bij de server met een account met lokale beheerdersreferenties.
2. Start Register Editor door Start te selecteren en ingedrukt te houden, voer regedit in het tekstvak Uitvoeren in en selecteer vervolgens OK.
3. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
4. Maak de DWORD-waarde SchUseStrongCrypto onder deze subsleutel met de waarde 1.
5. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
6. Maak de DWORD-waarde SchUseStrongCrypto onder deze subsleutel met de waarde 1.
7. Start het systeem opnieuw op om de instellingen van kracht te laten worden.

Het register automatisch wijzigen

Voer het volgende Windows PowerShell-script uit in de beheerdersmodus om Operations Manager automatisch te configureren voor het gebruik van alleen het TLS 1.2-protocol:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Aanvullende instellingen

Als u een ondersteunde versie van Linux-server bewaakt met Operations Manager, volgt u de instructies op de juiste website voor uw distributie om TLS 1.2 te configureren.

Audit Collection Services

Voor Audit Collection Services (ACS) moet u aanvullende wijzigingen aanbrengen in het register op de ACS Collector-server. ACS gebruikt de DSN om verbindingen met de database te maken. U moet de DSN-instellingen bijwerken om ze functioneel te maken voor TLS 1.2.

1. Meld u aan bij de server met een account met lokale beheerdersreferenties.

2. Start register Editor door Start te selecteren en vast te houden, voer regedit in het tekstvak Uitvoeren in en selecteer OK.

3. Zoek de volgende ODBC-subsleutel voor OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

   Notitie

   De standaardnaam van DSN is OpsMgrAC.

4. Selecteer onder de subsleutel ODBC-gegevensbronnen de DSN-naam OpsMgrAC. Dit bevat de naam van het ODBC-stuurprogramma dat moet worden gebruikt voor de databaseverbinding. Als u ODBC 17 hebt geïnstalleerd, wijzigt u deze naam in ODBC-stuurprogramma 17 voor SQL Server.

5. Werk onder de subsleutel OpsMgrAC het stuurprogramma bij voor de ODBC-versie die is geïnstalleerd.

   • Als ODBC 17 is geïnstalleerd, wijzigt u de vermelding stuurprogramma in %WINDIR%\system32\msodbcsql17.dll.

   Registerbestand

   U kunt ook het volgende .reg-bestand maken en opslaan in Kladblok of een andere teksteditor. Dubbelklik op het bestand om het opgeslagen .reg bestand uit te voeren.

   • Voor ODBC 17 maakt u het volgende ODBC-17.reg-bestand:

     Windows Registry Editor Version 5.00
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
     "OpsMgrAC"="ODBC Driver 17 for SQL Server"
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
     "Driver"="%WINDIR%\system32\msodbcsql17.dll"
     

   PowerShell

   U kunt ook de volgende PowerShell-opdrachten uitvoeren om de wijziging te automatiseren.

   • Voer voor ODBC 17 de volgende PowerShell-opdrachten uit:

     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
     

Volgende stappen

• Zie Configuring a Firewall for Operations Manager (Een firewall voor Operations Manager configureren) voor een volledige lijst van de gebruikte poorten, de richting van de communicatie en of de poorten kunnen worden geconfigureerd.

• Zie Verificatie en gegevensversleuteling in Operations Manager voor een algemeen overzicht van hoe gegevens tussen onderdelen in een beheergroep worden beveiligd.