Jak włączyć protokół TLS 1.2 dla klientów

Dotyczy: Configuration Manager (bieżąca gałąź)

Podczas włączania protokołu TLS 1.2 dla środowiska Configuration Manager zacznij od upewnienia się, że klienci są w stanie i prawidłowo skonfigurowani do korzystania z protokołu TLS 1.2 przed włączeniem protokołu TLS 1.2 i wyłączeniem starszych protokołów na serwerach lokacji i zdalnych systemach lokacji. Istnieją trzy zadania włączania protokołu TLS 1.2 na klientach:

• Aktualizowanie systemów Windows i WinHTTP
• Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego
• Aktualizowanie i konfigurowanie .NET Framework do obsługi protokołu TLS 1.2

Aby uzyskać więcej informacji na temat zależności dla określonych funkcji i scenariuszy Configuration Manager, zobacz Informacje o włączaniu protokołu TLS 1.2.

Aktualizowanie systemów Windows i WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 i nowsze wersje systemu Windows natywnie obsługują protokół TLS 1.2 dla komunikacji klient-serwer za pośrednictwem usługi WinHTTP.

Wcześniejsze wersje systemu Windows, takie jak Windows 7 lub Windows Server 2012, domyślnie nie włączają protokołu TLS 1.1 lub TLS 1.2 na potrzeby bezpiecznej komunikacji przy użyciu protokołu WinHTTP. W przypadku tych wcześniejszych wersji systemu Windows zainstaluj usługę Update 3140245 , aby włączyć wartość rejestru poniżej, którą można ustawić tak, aby dodać protokoły TLS 1.1 i TLS 1.2 do domyślnej listy protokołów bezpiecznych dla usługi WinHTTP. Po zainstalowaniu poprawki utwórz następujące wartości rejestru:

Ważna

Włącz te ustawienia na wszystkich klientach z wcześniejszymi wersjami systemu Windows przed włączeniem protokołu TLS 1.2 i wyłączeniem starszych protokołów na serwerach Configuration Manager. W przeciwnym razie można je przypadkowo osierocić.

Sprawdź wartość DefaultSecureProtocols ustawienia rejestru, na przykład:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Jeśli zmienisz tę wartość, uruchom ponownie komputer.

W powyższym przykładzie przedstawiono wartość 0xAA0 ustawienia WinHTTP DefaultSecureProtocols . Zaktualizuj, aby włączyć protokoły TLS 1.1 i TLS 1.2 jako domyślne protokoły bezpieczne w winhttp w systemie Windows, wyświetla wartość szesnastkowa dla każdego protokołu. Domyślnie w systemie Windows ta wartość polega 0x0A0 na włączeniu protokołu SSL 3.0 i protokołu TLS 1.0 dla protokołu WinHTTP. Powyższy przykład zachowuje te wartości domyślne, a także włącza protokoły TLS 1.1 i TLS 1.2 dla usługi WinHTTP. Ta konfiguracja gwarantuje, że zmiana nie spowoduje złamania żadnej innej aplikacji, która nadal może polegać na protokołach SSL 3.0 lub TLS 1.0. Wartości można użyć 0xA00 , aby włączyć tylko protokoły TLS 1.1 i TLS 1.2. Configuration Manager obsługuje najbezpieczniejszy protokół negocjowany przez system Windows między obydwoma urządzeniami.

Jeśli chcesz całkowicie wyłączyć protokoły SSL 3.0 i TLS 1.0, użyj ustawienia protokołów wyłączonych SChannel w systemie Windows. Aby uzyskać więcej informacji, zobacz Ograniczanie używania niektórych algorytmów kryptograficznych i protokołów w Schannel.dll.

Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego

W większości przypadków użycie protokołu jest kontrolowane na trzech poziomach, na poziomie systemu operacyjnego, na poziomie platformy lub platformy oraz na poziomie aplikacji. Protokół TLS 1.2 jest domyślnie włączony na poziomie systemu operacyjnego. Po upewnieniu się, że wartości rejestru platformy .NET są ustawione tak, aby włączyć protokół TLS 1.2 i sprawdzić, czy środowisko prawidłowo korzysta z protokołu TLS 1.2 w sieci, możesz edytować SChannel\Protocols klucz rejestru, aby wyłączyć starsze, mniej bezpieczne protokoły. Aby uzyskać więcej informacji na temat wyłączania protokołów TLS 1.0 i 1.1, zobacz Konfigurowanie protokołów Schannel w rejestrze systemu Windows.

Aktualizowanie i konfigurowanie .NET Framework do obsługi protokołu TLS 1.2

Określanie wersji platformy .NET

Najpierw określ zainstalowane wersje platformy .NET. Aby uzyskać więcej informacji, zobacz artykuł Określanie, które wersje i poziomy dodatku Service Pack struktury oprogramowania .NET Framework są zainstalowane.

Zainstaluj aktualizacje platformy .NET.

Zainstaluj aktualizacje platformy .NET, aby umożliwić silną kryptografię. Niektóre wersje .NET Framework mogą wymagać aktualizacji w celu włączenia silnej kryptografii. Należy zastosować się do następujących wytycznych:

• Program NET Framework 4.6.2 lub nowszy obsługuje protokoły TLS 1.1 i TLS 1.2. Potwierdź ustawienia rejestru, ale nie są wymagane żadne dodatkowe zmiany.

  Uwaga

  Począwszy od wersji 2107, Configuration Manager wymaga Microsoft .NET Framework wersji 4.6.2 dla serwerów lokacji, określonych systemów lokacji, klientów i konsoli. Jeśli to możliwe w środowisku, zainstaluj najnowszą wersję platformy .NET w wersji 4.8.

• Zaktualizuj program NET Framework 4.6 i starsze wersje, aby obsługiwać protokoły TLS 1.1 i TLS 1.2. hhhb Aby uzyskać więcej informacji, zobacz .NET Framework wersje i zależności.

• Jeśli używasz .NET Framework 4.5.1 lub 4.5.2 na Windows 8.1, Windows Server 2012 R2 lub Windows Server 2012, zdecydowanie zaleca się zainstalowanie najnowszych aktualizacji zabezpieczeń dla programu .Net Framework 4.5.1 i 4.5.2, aby zapewnić poprawne włączenie protokołu TLS 1.2.

  Na potrzeby twojej dokumentacji protokół TLS 1.2 został po raz pierwszy wprowadzony do programu .Net Framework 4.5.1 i 4.5.2 z następującymi pakietami zbiorczymi poprawek:

  • W przypadku Windows 8.1 i serwera 2012 R2: 3099842 zestawienia poprawek
  • W przypadku Windows Server 2012: 3099844 zestawienia poprawek

Konfigurowanie pod kątem silnej kryptografii

Skonfiguruj .NET Framework do obsługi silnej kryptografii. SchUseStrongCrypto Ustaw ustawienie rejestru na wartość DWORD:00000001. Ta wartość wyłącza szyfrowanie strumienia RC4 i wymaga ponownego uruchomienia. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Microsoft Security Advisory 296038.

Pamiętaj, aby ustawić następujące klucze rejestru na dowolnym komputerze, który komunikuje się w sieci z systemem obsługującym protokół TLS 1.2. Na przykład Configuration Manager klientów, zdalnych ról systemu lokacji nie zainstalowanych na serwerze lokacji i samego serwera lokacji.

W przypadku aplikacji 32-bitowych działających w 32-bitowych systemach operacyjnych i w aplikacjach 64-bitowych działających w 64-bitowych systemach operacyjnych zaktualizuj następujące wartości podklucza:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Dla aplikacji 32-bitowych, które działają w systemach opartych 64-bitowych, zaktualizuj następującą wartość podklucza:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Uwaga

To SchUseStrongCrypto ustawienie umożliwia platformie .NET używanie protokołów TLS 1.1 i TLS 1.2. To SystemDefaultTlsVersions ustawienie umożliwia platformie .NET korzystanie z konfiguracji systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące protokołu TLS dotyczące .NET Framework.

Następne kroki

• Włączanie protokołu TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji
• Typowe problemy podczas włączania protokołu TLS 1.2