Udostępnij za pośrednictwem


Jak włączyć protokół TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji

Dotyczy: Configuration Manager (Current Branch)

Podczas włączania protokołu TLS 1.2 dla środowiska programu Configuration Manager zacznij od włączenia protokołu TLS 1.2 dla klientów . Następnie włącz protokół TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji na drugim miejscu. Na koniec przetestuj komunikację klienta z systemem lokacji przed potencjalnie wyłączeniem starszych protokołów po stronie serwera. Do włączenia protokołu TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji potrzebne są następujące zadania:

  • Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego
  • Aktualizowanie i konfigurowanie programu .NET Framework do obsługi protokołu TLS 1.2
  • Aktualizowanie programu SQL Server i składników klienta
  • Aktualizowanie usług Windows Server Update Services (WSUS)

Aby uzyskać więcej informacji na temat zależności dla określonych funkcji i scenariuszy programu Configuration Manager, zobacz Informacje o włączaniu protokołu TLS 1.2.

Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego

W większości przypadków użycie protokołu jest kontrolowane na trzech poziomach, na poziomie systemu operacyjnego, na poziomie platformy lub platformy oraz na poziomie aplikacji. Protokół TLS 1.2 jest domyślnie włączony na poziomie systemu operacyjnego. Po upewnieniu się, że wartości rejestru .NET są ustawione tak, aby włączyć protokół TLS 1.2 i sprawdzić, czy środowisko prawidłowo korzysta z protokołu TLS 1.2 w sieci, możesz edytować SChannel\Protocols klucz rejestru, aby wyłączyć starsze, mniej bezpieczne protokoły. Aby uzyskać więcej informacji na temat wyłączania protokołów TLS 1.0 i 1.1, zobacz Konfigurowanie protokołów Schannel w rejestrze systemu Windows.

Aktualizowanie i konfigurowanie programu .NET Framework do obsługi protokołu TLS 1.2

Określanie wersji platformy .NET

Najpierw określ zainstalowane wersje platformy .NET. Aby uzyskać więcej informacji, zobacz artykuł Określanie, które wersje i poziomy dodatku Service Pack struktury oprogramowania .NET Framework są zainstalowane.

Zainstaluj aktualizacje platformy .NET.

Zainstaluj aktualizacje platformy .NET, aby umożliwić silną kryptografię. Niektóre wersje programu .NET Framework mogą wymagać aktualizacji w celu włączenia silnej kryptografii. Należy zastosować się do następujących wytycznych:

  • Program NET Framework 4.6.2 lub nowszy obsługuje protokoły TLS 1.1 i TLS 1.2. Potwierdź ustawienia rejestru, ale nie są wymagane żadne dodatkowe zmiany.

    Uwaga

    Począwszy od wersji 2107, program Configuration Manager wymaga programu Microsoft .NET Framework w wersji 4.6.2 dla serwerów lokacji, określonych systemów lokacji, klientów i konsoli. Jeśli to możliwe w środowisku, zainstaluj najnowszą wersję platformy .NET w wersji 4.8.

  • Zaktualizuj program NET Framework 4.6 i starsze wersje, aby obsługiwać protokoły TLS 1.1 i TLS 1.2. hhhb Aby uzyskać więcej informacji, zobacz .NET Framework wersje i zależności.

  • Jeśli używasz programu .NET Framework 4.5.1 lub 4.5.2 w systemie Windows 8.1, Windows Server 2012 R2 lub Windows Server 2012, zdecydowanie zaleca się zainstalowanie najnowszych aktualizacji zabezpieczeń dla programu .Net Framework 4.5.1 i 4.5.2, aby zapewnić poprawne włączenie protokołu TLS 1.2.

    Na potrzeby twojej dokumentacji protokół TLS 1.2 został po raz pierwszy wprowadzony do programu .Net Framework 4.5.1 i 4.5.2 z następującymi pakietami zbiorczymi poprawek:

Konfigurowanie pod kątem silnej kryptografii

Skonfiguruj program .NET Framework do obsługi silnej kryptografii. SchUseStrongCrypto Ustaw ustawienie rejestru na wartość DWORD:00000001. Ta wartość wyłącza szyfrowanie strumienia RC4 i wymaga ponownego uruchomienia. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Microsoft Security Advisory 296038.

Pamiętaj, aby ustawić następujące klucze rejestru na dowolnym komputerze, który komunikuje się w sieci z systemem obsługującym protokół TLS 1.2. Na przykład klienci programu Configuration Manager, role zdalnego systemu lokacji nie są zainstalowane na serwerze lokacji i sam serwer lokacji.

W przypadku aplikacji 32-bitowych, które są uruchomione w 32-bitowych systemach operacyjnych i w aplikacjach 64-bitowych działających w 64-bitowych systemach operacyjnych, zaktualizuj następujące wartości podklucza:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Dla aplikacji 32-bitowych, które działają w systemach opartych 64-bitowych, zaktualizuj następującą wartość podklucza:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Uwaga

To SchUseStrongCrypto ustawienie umożliwia platformie .NET używanie protokołów TLS 1.1 i TLS 1.2. To SystemDefaultTlsVersions ustawienie umożliwia platformie .NET korzystanie z konfiguracji systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące protokołu TLS w programie .NET Framework.

Aktualizowanie programu SQL Server i składników klienta

Program Microsoft SQL Server 2016 i nowsze obsługują protokoły TLS 1.1 i TLS 1.2. Wcześniejsze wersje i biblioteki zależne mogą wymagać aktualizacji. Aby uzyskać więcej informacji, zobacz KB 3135244: Obsługa protokołu TLS 1.2 dla programu Microsoft SQL Server.

Serwery lokacji dodatkowej muszą używać co najmniej programu SQL Server 2016 Express z dodatkiem Service Pack 2 (13.2.50.26) lub nowszym.

Klient natywny programu SQL Server

Uwaga

W artykule KB 3135244 opisano również wymagania dotyczące składników klienta programu SQL Server.

Pamiętaj również o zaktualizowaniu klienta natywnego programu SQL Server do co najmniej wersji PROGRAMU SQL Server 2012 SP4 (11.*.7001.0). To wymaganie jest sprawdzeniem wymagań wstępnych (ostrzeżenie).

Program Configuration Manager używa klienta natywnego programu SQL Server w następujących rolach systemu lokacji:

  • Serwer bazy danych lokacji
  • Serwer lokacji: centralna lokacja administracyjna, lokacja główna lub lokacja dodatkowa
  • Punkt zarządzania
  • Punkt zarządzania urządzeniami
  • Punkt migracji stanu
  • Dostawca programu SMS
  • Punkt aktualizacji oprogramowania
  • Punkt dystrybucji z obsługą multiemisji
  • Punkt usługi aktualizacji analizy zasobów
  • Punkt usług raportowania
  • Punkt rejestracji
  • Punkt ochrony punktu końcowego
  • Punkt połączenia z usługą
  • Punkt rejestracji certyfikatu
  • Punkt obsługi magazynu danych

Włączanie protokołu TLS 1.2 na dużą skalę przy użyciu konfiguracji maszyny automatycznego zarządzania i usługi Azure Arc

Automatycznie konfiguruje protokół TLS 1.2 na komputerze klienckim i serwerze dla maszyn działających na platformie Azure, w środowisku lokalnym lub w wielu chmurach. Aby rozpocząć konfigurowanie protokołu TLS 1.2 na maszynach, połącz je z platformą Azure przy użyciu serwerów z obsługą usługi Azure Arc, co jest domyślnie zgodne z wymaganiami wstępnymi konfiguracji maszyny. Po nawiązaniu połączenia protokół TLS 1.2 można skonfigurować z prostotą typu punkt-kliknięcie, wdrażając wbudowaną definicję zasad w witrynie Azure Portal: konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na serwerach z systemem Windows. Zakres zasad można przypisać na poziomie subskrypcji, grupy zasobów lub grupy zarządzania, a także wykluczyć wszystkie zasoby z definicji zasad.

Po przypisaniu konfiguracji stan zgodności zasobów można wyświetlić szczegółowo, przechodząc do strony Przypisania gościa i określając zakres zasobów, których dotyczy problem.

Aby zapoznać się ze szczegółowym samouczkiem krok po kroku, zobacz Spójne uaktualnianie protokołu TLS serwera przy użyciu usługi Azure Arc i konfiguracji maszyny do automatycznego zarządzania.

Aktualizowanie usług Windows Server Update Services (WSUS)

Protokół TLS 1.2 jest domyślnie obsługiwany dla programu WSUS we wszystkich aktualnie obsługiwanych wersjach systemu Windows Server.

Aby obsługiwać protokół TLS 1.2 we wcześniejszych wersjach programu WSUS, zainstaluj następującą aktualizację na serwerze WSUS:

  • W przypadku serwera WSUS z systemem Windows Server 2012 zainstaluj aktualizację 4022721 lub nowszą aktualizację zbiorczą.

  • W przypadku serwera WSUS z systemem Windows Server 2012 R2 zainstaluj aktualizację 4022720 lub nowszą aktualizację zbiorczą.

Uwaga

10 października 2023 r. systemy Windows Server 2012 i Windows Server 2012 R2 weszły w fazę rozszerzonych aktualizacji pomocy technicznej. Firma Microsoft nie będzie już zapewniać obsługi serwerów lokacji programu Configuration Manager ani ról zainstalowanych w tych systemach operacyjnych. Aby uzyskać więcej informacji, zobacz Rozszerzone aktualizacje zabezpieczeń i Program Configuration Manager.

Następne kroki