Como implementar o Transport Layer Security 1.2

Este artigo descreve como ativar a versão 1.2 do protocolo Transport Layer Security (TLS) para um grupo de gestão do System Center Operations Manager.

Nota

O Operations Manager utilizará o protocolo configurado ao Nível do Sistema Operativo. Por exemplo, se o TLS 1.0, o TLS 1.1 e o TLS 1.2 estiverem ativados ao Nível do Sistema Operativo, o Operations Manager selecionará um dos três protocolos pela seguinte ordem de preferência:

1. TLS versão 1.2
2. TLS versão 1.1
3. Versão TLS 1.0

Em seguida, o SSP Schannel seleciona o protocolo de autenticação mais preferencial que o cliente e o servidor podem suportar.

Execute os seguintes passos para ativar a versão 1.2 do protocolo TLS:

1. Instale o Microsoft OLE DB Driver versão 18.2 para 18.6.7 ou posterior em todos os servidores de gestão e no servidor da consola Web.
2. Instale .NET Framework 4.6 em todos os servidores de gestão, servidores de gateway, servidor de consola Web e SQL Server que alojem as bases de dados do Operations Manager e a função de servidor de Relatórios.
3. Instale a Atualização de SQL Server Necessária que suporte o TLS 1.2.
4. Instale o Controlador ODBC versão 17.3 para 17.10.5 ou posterior em todos os servidores de gestão.
5. Configure o Windows para utilizar apenas o TLS 1.2.
6. Configure o Operations Manager para utilizar apenas o TLS 1.2.

O Operations Manager gera certificados sha1 e SHA2 autoassinados. Isto é necessário para ativar o TLS 1.2. Se forem utilizados certificados assinados por AC, certifique-se de que os certificados são SHA1 ou SHA2.

Configurar o Sistema Operativo Windows para utilizar apenas o protocolo TLS 1.2

Utilize um dos seguintes métodos para configurar o Windows para utilizar apenas o protocolo TLS 1.2.

Método 1: modificar manualmente o registo

Importante

Siga os passos nesta secção com atenção. Problemas graves poderão ocorrer se modificar o registo incorretamente. Antes de o modificar, faça uma cópia de segurança do registo para restauro em caso de problemas.

Utilize os seguintes passos para ativar/desativar todos os protocolos SCHANNEL em todo o sistema. Recomendamos que ative o protocolo TLS 1.2 para todas as comunicações recebidas e comunicações de saída.

Nota

Efetuar estas alterações de registo não afeta a utilização de protocolos Kerberos ou NTLM.

1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.

2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e selecione OK.

3. Localize a seguinte subchave de registo: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

4. Crie uma subchave em Protocolos para SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 e TLS 1.2.

5. Crie uma subchave Cliente e Servidor em cada subchave de versão do protocolo que criou anteriormente. Por exemplo, a subchave do TLS 1.0 seria HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

6. Para desativar cada protocolo, crie os seguintes valores DWORD em Servidor e Cliente:

   • Ativado [Valor = 0]
   • DisabledByDefault [Valor = 1]

7. Para ativar o protocolo TLS 1.2, crie os seguintes valores DWORD em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

   • Ativado [Valor = 1]
   • DisabledByDefault [Valor = 0]

8. Feche o Editor de Registo.

Método 2: modificar automaticamente o registo

Execute o seguinte script Windows PowerShell como Administrador para configurar automaticamente o seu Sistema Operativo Windows para utilizar apenas o Protocolo TLS 1.2:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Configurar o Operations Manager para utilizar apenas o TLS 1.2

Depois de concluir a configuração de todos os pré-requisitos do Operations Manager, execute os seguintes passos em todos os servidores de gestão, no servidor que aloja a função de consola Web e em qualquer computador Windows em que o agente esteja instalado.

Importante

Siga os passos nesta secção com atenção. Problemas graves poderão ocorrer se modificar o registo incorretamente. Antes de efetuar quaisquer modificações, crie uma cópia de segurança do registo para restauro, caso ocorram problemas.

Modificar manualmente o registo

1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.
2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e, em seguida, selecione OK.
3. Localize a seguinte subchave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
4. Crie o valor DWORD SchUseStrongCrypto nesta subchave com um valor de 1.
5. Localize a seguinte subchave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
6. Crie o valor DWORD SchUseStrongCrypto nesta subchave com um valor de 1.
7. Reinicie o sistema para que as definições entrem em vigor.

Modificar automaticamente o registo

Execute o seguinte script Windows PowerShell no modo de Administrador para configurar automaticamente o Operations Manager para utilizar apenas o Protocolo TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Definições adicionais

Se estiver a monitorizar uma versão suportada do servidor Linux com o Operations Manager, siga as instruções no site adequado para a distribuição para configurar o TLS 1.2.

Serviços de Recolha de Auditorias

Para os Serviços de Recolha de Auditorias (ACS), tem de fazer alterações adicionais no registo no servidor recoletor ACS. O ACS utiliza o DSN para fazer ligações à base de dados. Tem de atualizar as definições de DSN para as tornar funcionais para o TLS 1.2.

1. Inicie sessão no servidor com uma conta que tenha credenciais administrativas locais.

2. Inicie o Registo Revisor ao selecionar e manter premida a tecla Iniciar, introduza regedit na caixa de texto Executar e selecione OK.

3. Localize a seguinte subchave ODBC para OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

   Nota

   O nome predefinido do DSN é OpsMgrAC.

4. Em Subchave de Origens de Dados ODBC , selecione o nome DSN OpsMgrAC. Contém o nome do controlador ODBC a utilizar para a ligação da base de dados. Se tiver o ODBC 17 instalado, altere este nome para Controlador ODBC 17 para SQL Server.

5. Na subchave OpsMgrAC , atualize o Controlador para a versão ODBC que está instalada.

   • Se o ODBC 17 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql17.dll.

   Ficheiro de Registo

   Em alternativa, crie e guarde o seguinte ficheiro .reg no Bloco de Notas ou noutro editor de texto. Para executar o ficheiro .reg guardado, faça duplo clique no ficheiro.

   • Para o ODBC 17, crie o seguinte ficheiro de 17.reg ODBC:

     Windows Registry Editor Version 5.00
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
     "OpsMgrAC"="ODBC Driver 17 for SQL Server"
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
     "Driver"="%WINDIR%\system32\msodbcsql17.dll"
     

   PowerShell

   Em alternativa, pode executar os seguintes comandos do PowerShell para automatizar a alteração.

   • Para o ODBC 17, execute os seguintes comandos do PowerShell:

     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
     

Passos seguintes

• Para obter uma listagem completa das portas utilizadas, da direção da comunicação e averiguar se as portas podem ser configuradas, veja Configuring a Firewall for Operations Manager (Configurar uma Firewall para o Operations Manager).

• Para uma revisão geral de como os dados entre componentes num grupo de gestão estão protegidos, veja Autenticação e Encriptação de Dados no Operations Manager.