Partilhar via


Como implementar o Transport Layer Security 1.2

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.

Este artigo descreve como ativar a versão 1.2 do protocolo Transport Layer Security (TLS) para um grupo de gestão do System Center Operations Manager.

Nota

O Operations Manager utilizará o protocolo configurado ao Nível do Sistema Operativo. Por exemplo, se o TLS 1.0, o TLS 1.1 e o TLS 1.2 estiverem ativados ao Nível do Sistema Operativo, o Operations Manager selecionará um dos três protocolos pela seguinte ordem de preferência:

  1. TLS versão 1.2
  2. TLS versão 1.1
  3. Versão TLS 1.0

Em seguida, o SSP Schannel seleciona o protocolo de autenticação mais preferencial que o cliente e o servidor podem suportar.

Execute os seguintes passos para ativar a versão 1.2 do protocolo TLS:

Nota

O Microsoft OLE DB Driver 18 para SQL Server (recomendado) é suportado com o Operations Manager 2016 UR9 e posterior.

  1. Instale SQL Server 2012 Native Client 11.0 ou Microsoft OLE DB Driver 18 para SQL Server em todos os servidores de gestão e no servidor da consola Web.
  2. Instale .NET Framework 4.6 em todos os servidores de gestão, servidores de gateway, servidor de consola Web e SQL Server que alojem as bases de dados do Operations Manager e a função de servidor de Relatórios.
  3. Instale a Atualização de SQL Server Necessária que suporte o TLS 1.2.
  4. Instale o ODBC 11.0 ou o ODBC 13.0 em todos os servidores de gestão.
  5. Para o System Center 2016 - Operations Manager, instale o Update Rollup 4 ou posterior.
  6. Configure o Windows para utilizar apenas o TLS 1.2.
  7. Configure o Operations Manager para utilizar apenas o TLS 1.2.
  1. Instale o Microsoft OLE DB Driver versão 18.2 para 18.6.7 ou posterior em todos os servidores de gestão e no servidor da consola Web.
  2. Instale .NET Framework 4.6 em todos os servidores de gestão, servidores de gateway, servidor de consola Web e SQL Server que alojem as bases de dados do Operations Manager e a função de servidor de Relatórios.
  3. Instale a Atualização de SQL Server Necessária que suporte o TLS 1.2.
  4. Instale o Controlador ODBC versão 17.3 para 17.10.5 ou posterior em todos os servidores de gestão.
  5. Configure o Windows para utilizar apenas o TLS 1.2.
  6. Configure o Operations Manager para utilizar apenas o TLS 1.2.

O Operations Manager gera certificados sha1 e SHA2 autoassinados. Isto é necessário para ativar o TLS 1.2. Se forem utilizados certificados assinados por AC, certifique-se de que os certificados são SHA1 ou SHA2.

Nota

Se as políticas de segurança restringirem o TLS 1.0 e 1.1, a instalação de um novo servidor de gestão do Operations Manager 2016, servidor de gateway, consola Web e função do Reporting Services falhará porque o suporte de dados de configuração não inclui as atualizações para suportar o TLS 1.2. A única forma de instalar estas funções é ao ativar o TLS 1.0 no sistema, aplicar o Update Rollup 4 e, em seguida, ativar o TLS 1.2 no sistema. Esta limitação não se aplica à versão 1801 do Operations Manager.

Configurar o Sistema Operativo Windows para utilizar apenas o protocolo TLS 1.2

Utilize um dos seguintes métodos para configurar o Windows para utilizar apenas o protocolo TLS 1.2.

Método 1: modificar manualmente o registo

Importante

Siga os passos nesta secção com atenção. Problemas graves poderão ocorrer se modificar o registo incorretamente. Antes de o modificar, faça uma cópia de segurança do registo para restauro em caso de problemas.

Utilize os seguintes passos para ativar/desativar todos os protocolos SCHANNEL em todo o sistema. Recomendamos que ative o protocolo TLS 1.2 para todas as comunicações recebidas e comunicações de saída.

Nota

Efetuar estas alterações de registo não afeta a utilização de protocolos Kerberos ou NTLM.

  1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.

  2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e selecione OK.

  3. Localize a seguinte subchave de registo: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. Crie uma subchave em Protocolos para SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 e TLS 1.2.

  5. Crie uma subchave Cliente e Servidor em cada subchave de versão do protocolo que criou anteriormente. Por exemplo, a subchave do TLS 1.0 seria HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

  6. Para desativar cada protocolo, crie os seguintes valores DWORD em Servidor e Cliente:

    • Ativado [Valor = 0]
    • DisabledByDefault [Valor = 1]
  7. Para ativar o protocolo TLS 1.2, crie os seguintes valores DWORD em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

    • Ativado [Valor = 1]
    • DisabledByDefault [Valor = 0]
  8. Feche o Editor de Registo.

Método 2: modificar automaticamente o registo

Execute o seguinte script Windows PowerShell como Administrador para configurar automaticamente o seu Sistema Operativo Windows para utilizar apenas o Protocolo TLS 1.2:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Configurar o Operations Manager para utilizar apenas o TLS 1.2

Depois de concluir a configuração de todos os pré-requisitos do Operations Manager, execute os seguintes passos em todos os servidores de gestão, no servidor que aloja a função de consola Web e em qualquer computador Windows em que o agente esteja instalado.

Importante

Siga os passos nesta secção com atenção. Problemas graves poderão ocorrer se modificar o registo incorretamente. Antes de efetuar quaisquer modificações, crie uma cópia de segurança do registo para restauro, caso ocorram problemas.

Nota

O SCOM 2012 R2 em execução no Windows OS 2012 precisa de alterações adicionais para utilizar o TLS 1.2 através de HTTP para monitorização UNIX/LINUX. Para ativar o TLS 1.2 como protocolos de segurança predefinidos no WinHTTP no Windows, as seguintes alterações têm de ser efetuadas de acordo com a Atualização para ativar o TLS 1.1 e o TLS 1.2 como protocolos seguros predefinidos no WinHTTP no Windows.

  1. Instale KB3140245 nos Servidores de Gestão/Gateways no Agrupamento de Recursos UNIX/LINUX.
  2. Crie uma cópia de segurança dos registos que são modificados conforme mencionado no artigo BDC.
  3. Transfira e execute a ferramenta Easy Fix nos Servidores de Gestão/Gateways no Agrupamento de Recursos UNIX/LINUX.
  4. Reinicie os servidores.

Modificar manualmente o registo

  1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.
  2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e, em seguida, selecione OK.
  3. Localize a seguinte subchave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Crie o valor DWORD SchUseStrongCrypto nesta subchave com um valor de 1.
  5. Localize a seguinte subchave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Crie o valor DWORD SchUseStrongCrypto nesta subchave com um valor de 1.
  7. Reinicie o sistema para que as definições entrem em vigor.

Modificar automaticamente o registo

Execute o seguinte script Windows PowerShell no modo de Administrador para configurar automaticamente o Operations Manager para utilizar apenas o Protocolo TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Definições adicionais

Se estiver a ser implementado para o System Center 2016 - Operations Manager, depois de aplicar o Update Rollup 4, certifique-se de que importa os pacotes de gestão incluídos neste rollup localizados no seguinte diretório: \Programas\Microsoft System Center 2016\Operations Manager\Server\Management Packs para Update Rollups.

Se estiver a monitorizar uma versão suportada do servidor Linux com o Operations Manager, siga as instruções no site adequado para a distribuição para configurar o TLS 1.2.

Serviços de Recolha de Auditorias

Para os Serviços de Recolha de Auditorias (ACS), tem de fazer alterações adicionais no registo no servidor recoletor ACS. O ACS utiliza o DSN para fazer ligações à base de dados. Tem de atualizar as definições de DSN para as tornar funcionais para o TLS 1.2.

  1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.

  2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e selecione OK.

  3. Localize a seguinte subchave ODBC para OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Nota

    O nome predefinido do DSN é OpsMgrAC.

  4. Em Subchave de Origens de Dados ODBC , selecione o nome DSN OpsMgrAC. Contém o nome do controlador ODBC a utilizar para a ligação da base de dados. Se tiver o ODBC 11.0 instalado, altere este nome para Controlador ODBC 11 para SQL Server ou, se tiver o ODBC 13.0 instalado, altere este nome para Controlador ODBC 13 para SQL Server.

  5. Na subchave OpsMgrAC , atualize o Controlador para a versão ODBC que está instalada.

    • Se o ODBC 11.0 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql11.dll.
    • Se o ODBC 13.0 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql13.dll.

    Ficheiro de Registo

    Em alternativa, crie e guarde o seguinte ficheiro .reg no Bloco de Notas ou noutro editor de texto. Para executar o ficheiro .reg guardado, faça duplo clique no ficheiro.

    • Para o ODBC 11.0, crie o seguinte ficheiro de 11.reg ODBC:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 11 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql11.dll"
      
    • Para o ODBC 13.0, crie o seguinte ficheiro de 13.reg ODBC:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 13 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql13.dll"
      

    PowerShell

    Em alternativa, pode executar os seguintes comandos do PowerShell para automatizar a alteração.

    • Para o ODBC 11.0, execute os seguintes comandos do PowerShell:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null
      
    • Para o ODBC 13.0, execute os seguintes comandos do PowerShell:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null
      

Serviços de Recolha de Auditorias

Para os Serviços de Recolha de Auditorias (ACS), tem de fazer alterações adicionais no registo no servidor recoletor ACS. O ACS utiliza o DSN para fazer ligações à base de dados. Tem de atualizar as definições de DSN para as tornar funcionais para o TLS 1.2.

  1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.

  2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e selecione OK.

  3. Localize a seguinte subchave ODBC para OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Nota

    O nome predefinido do DSN é OpsMgrAC.

  4. Em Subchave de Origens de Dados ODBC , selecione o nome DSN OpsMgrAC. Contém o nome do controlador ODBC a utilizar para a ligação da base de dados. Se tiver o ODBC 17 instalado, altere este nome para Controlador ODBC 17 para SQL Server.

  5. Na subchave OpsMgrAC , atualize o Controlador para a versão ODBC que está instalada.

    • Se o ODBC 17 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql17.dll.

    Ficheiro de Registo

    Em alternativa, crie e guarde o seguinte ficheiro .reg no Bloco de Notas ou noutro editor de texto. Para executar o ficheiro .reg guardado, faça duplo clique no ficheiro.

    • Para o ODBC 17, crie o seguinte ficheiro de 17.reg ODBC:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 17 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql17.dll"
      

    PowerShell

    Em alternativa, pode executar os seguintes comandos do PowerShell para automatizar a alteração.

    • Para o ODBC 17, execute os seguintes comandos do PowerShell:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
      

Passos seguintes