Kroki wyłączania protokołów TLS 1.0 i 1.1 na serwerach MBAM oraz wymuszania korzystania z protokołu TLS 1.2

W tym artykule opisano kroki wyłączania protokołu Transport Layer Security (TLS) 1.0 i 1.1 na serwerach administracji i monitorowania funkcji Microsoft BitLocker (MBAM) oraz wymuszania korzystania z protokołu TLS 1.2.

Oryginalny numer KB: 4558055

Symptomy

Firma Microsoft planuje wyłączyć starsze protokoły TLS w ramach przygotowań do wyłączenia protokołów TLS 1.0 i TLS 1.1 domyślnie. Zobacz Planowanie zmian: protokoły TLS 1.0 i TLS 1.1 wkrótce zostaną domyślnie wyłączone.

W przypadku klientów korporacyjnych może to wymagać wyłączenia protokołu TLS 1.0 i 1.1 w swoim środowisku na potrzeby infrastruktury administracji i monitorowania funkcji Microsoft BitLocker (MBAM).

Rozwiązanie

Wykonaj następujące kroki, aby wyłączyć protokoły TLS 1.0 i 1.1 na serwerach MBAM i wymusić użycie protokołu TLS 1.2.

1. Pobierz i zainstaluj najnowszą dostępną wersję programu Microsoft .NET Framework na wszystkich serwerach MBAM, które są następujące:

   • Serwery sieci Web z uruchomionymi rolami usług IIS
   • Serwery SQL z uruchomionym aparatem bazy danych programu SQL Server i usługami SQL Server Reporting Services

   Zobacz: Instalator programu Microsoft .NET Framework 4.8 w trybie offline dla systemu Windows

2. Wykonaj poniższe skrypty programu PowerShell. Są one używane do wyłączania protokołów TLS 1.0 i 1.1 i wymuszania użycia tylko protokołu TLS 1.2.

3. Uruchom ponownie serwery, a następnie przetestuj aplikacje internetowe MBAM. Upewnij się, że klienci MBAM mogą komunikować się z serwerem w celu utworzenia kopii zapasowej informacji odzyskiwania.

<Tighten_DotNet.PS1>

#Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

<Force_TLS1.2.PS1>

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"

if(!(Test-Path $currentRegPath))
{
    Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null

}
if($Protocol -eq "TLS 1.2")
{
    Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null

}
else
{
    Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0

Więcej informacji

Ustawienia rejestru protokołu Transport Layer Security (TLS)