Como habilitar o TLS 1.2 nos servidores do site e nos sistemas de sites remotos
Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)
Ao habilitar o TLS 1.2 para seu ambiente Configuration Manager, comece com a habilitação do TLS 1.2 primeiro para os clientes. Em seguida, habilite o TLS 1.2 nos servidores do site e nos sistemas de sites remotos em segundo lugar. Por fim, teste o cliente para as comunicações do sistema de sites antes de potencialmente desabilitar os protocolos mais antigos no lado do servidor. As tarefas a seguir são necessárias para habilitar o TLS 1.2 nos servidores do site e nos sistemas de sites remotos:
- Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
- Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
- Atualizar componentes de cliente e SQL Server
- Atualizar Windows Server Update Services (WSUS)
Para obter mais informações sobre dependências para recursos e cenários específicos do Gerenciador de Configurações, veja Sobre a habilitação TLS 1.2.
Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
Na maioria das vezes, o uso do protocolo é controlado em três níveis, no nível do sistema operacional, no nível da estrutura ou da plataforma e no nível do aplicativo. O TLS 1.2 está habilitado por padrão no nível do sistema operacional. Depois de garantir que os valores do registro do .NET sejam definidos para habilitar o TLS 1.2 e verificar se o ambiente está utilizando corretamente o TLS 1.2 na rede, talvez você queira editar a chave do SChannel\Protocols registro para desabilitar os protocolos mais antigos e menos seguros. Para obter mais informações sobre como desabilitar o TLS 1.0 e 1.1, consulte Configurando protocolos Schannel no Registro do Windows.
Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
Determinar a versão do .NET
Primeiro, determine as versões instaladas do .NET. Para obter mais informações, consulte Determinar quais versões e níveis de service pack do .NET Framework estão instalados.
Instale atualizações do .NET
Instale as atualizações do .NET para que você possa habilitar criptografia forte. Algumas versões do .NET Framework podem exigir atualizações para habilitar criptografia forte. Use estas diretrizes:
O NET Framework 4.6.2 e posterior dá suporte a TLS 1.1 e TLS 1.2. Confirme as configurações do registro, mas não são necessárias alterações adicionais.
Observação
A partir da versão 2107, Configuration Manager requer o Microsoft .NET Framework versão 4.6.2 para servidores de site, sistemas de site específicos, clientes e o console. Se possível em seu ambiente, instale a versão mais recente do .NET versão 4.8.
Atualize o NET Framework 4.6 e versões anteriores para dar suporte ao TLS 1.1 e ao TLS 1.2. Para obter mais informações, consulte Versões e dependências do .NET Framework.
Se você estiver usando .NET Framework 4.5.1 ou 4.5.2 no Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012, é altamente recomendável instalar as atualizações de segurança mais recentes do .Net Framework 4.5.1 e 4.5.2 para garantir que o TLS 1.2 possa ser habilitado corretamente.
Para sua referência, o TLS 1.2 foi introduzido pela primeira vez no .Net Framework 4.5.1 e 4.5.2 com as seguintes rollups de hotfix:
- Para Windows 8.1 e Server 2012 R2: 3099842 de rollup do Hotfix
- Para Windows Server 2012: 3099844 de rollup do Hotfix
Configurar para criptografia forte
Configure .NET Framework para dar suporte a criptografia forte. Defina a configuração do SchUseStrongCrypto registro como DWORD:00000001. Esse valor desabilita a cifra do fluxo RC4 e requer uma reinicialização. Para obter mais informações sobre essa configuração, consulte Microsoft Security Advisory 296038.
Defina as seguintes chaves de registro em qualquer computador que se comunique em toda a rede com um sistema habilitado para TLS 1.2. Por exemplo, Configuration Manager clientes, funções remotas do sistema de sites não instaladas no servidor do site e no próprio servidor do site.
Para aplicativos de 32 bits que estão em execução em OSs de 32 bits e para aplicativos de 64 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores de subchave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Para aplicativos de 32 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Observação
A SchUseStrongCrypto configuração permite que o .NET use o TLS 1.1 e o TLS 1.2. A SystemDefaultTlsVersions configuração permite que o .NET use a configuração do sistema operacional. Para obter mais informações, consulte Práticas recomendadas do TLS com o .NET Framework.
Atualizar componentes de cliente e SQL Server
O Microsoft SQL Server 2016 e posterior dá suporte ao TLS 1.1 e ao TLS 1.2. Versões anteriores e bibliotecas dependentes podem exigir atualizações. Para obter mais informações, consulte KB 3135244: suporte ao TLS 1.2 para Microsoft SQL Server.
Os servidores de site secundários precisam usar pelo menos SQL Server Express 2016 com o Service Pack 2 (13.2.50.26) ou posterior.
SQL Server Native Client
Observação
O 3135244 KB também descreve os requisitos para SQL Server componentes do cliente.
Atualize também o SQL Server Native Client para pelo menos a versão SQL Server 2012 SP4 (11.*.7001.0). Esse requisito é uma verificação de pré-requisito (aviso).
Configuration Manager usa SQL Server Native Client nas seguintes funções do sistema de sites:
- Servidor de banco de dados do site
- Servidor de site: site de administração central, site primário ou site secundário
- Ponto de gerenciamento
- Ponto de gerenciamento de dispositivo
- Ponto de migração de estado
- Provedor de SMS
- Ponto de atualização de software
- Ponto de distribuição habilitado para multicast
- Ponto de serviço de atualização do Asset Intelligence
- Ponto de serviços de relatório
- Ponto de registro
- Ponto de Proteção de Ponto de Extremidade
- Ponto de conexão de serviço
- Ponto de registro de certificado
- Ponto de serviço do data warehouse
Habilitar o TLS 1.2 em escala usando a Configuração do Computador de Automação e o Azure Arc
Configura automaticamente o TLS 1.2 entre o cliente e o servidor para computadores em execução em ambientes do Azure, no local ou em várias nuvens. Para começar a configurar o TLS 1.2 em seus computadores, conecte-os ao Azure usando servidores habilitados para Azure Arc, que vem com o pré-requisito de Configuração de Máquina por padrão. Depois de conectado, o TLS 1.2 pode ser configurado com simplicidade de ponto e clique implantando a definição de política interna no Portal do Azure: configurar protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) em servidores Windows. O escopo da política pode ser atribuído no nível de assinatura, grupo de recursos ou grupo de gerenciamento, bem como excluir todos os recursos da definição de política.
Depois que a configuração tiver sido atribuída, o status de conformidade de seus recursos poderá ser exibido em detalhes navegando até a página Atribuições de Convidado e examinando os recursos afetados.
Para obter um tutorial detalhado e passo a passo, consulte Atualizar consistentemente o protocolo TLS do servidor usando o Azure Arc e a Configuração do Computador de Automação.
Atualizar Windows Server Update Services (WSUS)
Para dar suporte ao TLS 1.2 em versões anteriores do WSUS, instale a seguinte atualização no servidor WSUS:
Para o servidor WSUS que está executando Windows Server 2012, instale 4022721 de atualização ou uma atualização de rollup posterior.
Para o servidor WSUS que está executando Windows Server 2012 R2, instale 4022720 de atualização ou uma atualização de roll-up posterior.
A partir de Windows Server 2016, o TLS 1.2 tem suporte por padrão para WSUS. As atualizações do TLS 1.2 só são necessárias em servidores Windows Server 2012 e Windows Server 2012 R2 WSUS.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de