Включение TLS 1.2
Область применения: Configuration Manager (Current Branch)
Протокол TLS, например SSL, — это протокол шифрования, предназначенный для обеспечения безопасности данных при передаче по сети. В этих статьях описаны шаги, необходимые для обеспечения того, чтобы Configuration Manager безопасной связи использовал протокол TLS 1.2. В этих статьях также описаны требования к обновлению для часто используемых компонентов и устранение распространенных проблем.
Включение TLS 1.2
Configuration Manager использует множество различных компонентов для безопасного взаимодействия. Протокол, используемый для данного подключения, зависит от возможностей соответствующих компонентов как на стороне клиента, так и на стороне сервера. Если какой-либо компонент устарел или настроен неправильно, для связи может использоваться более старый, менее безопасный протокол. Чтобы правильно включить Configuration Manager для поддержки TLS 1.2 для всех безопасных подключений, необходимо включить TLS 1.2 для всех необходимых компонентов. Необходимые компоненты зависят от вашей среды и используемых Configuration Manager функций.
Важно!
Запустите этот процесс с помощью клиентов, особенно предыдущих версий Windows. Перед включением TLS 1.2 и отключением старых протоколов на серверах Configuration Manager убедитесь, что все клиенты поддерживают TLS 1.2. В противном случае клиенты не смогут взаимодействовать с серверами и могут быть потеряны.
Задачи для клиентов Configuration Manager, серверов сайта и систем удаленных сайтов
Чтобы включить ПРОТОКОЛ TLS 1.2 для компонентов, от Configuration Manager зависит безопасное взаимодействие, необходимо выполнить несколько задач как на клиентах, так и на серверах сайта.
Включение TLS 1.2 для клиентов Configuration Manager
- Обновление Windows и WinHTTP для Windows 8.0, Windows Server 2012 (не R2) и более ранних версий
- Убедитесь, что протокол TLS 1.2 включен в качестве протокола для SChannel на уровне ОС.
- Обновление и настройка платформа .NET Framework для поддержки TLS 1.2
Включение TLS 1.2 для серверов сайта Configuration Manager и удаленных систем сайта
- Убедитесь, что протокол TLS 1.2 включен в качестве протокола для SChannel на уровне ОС.
- Обновление и настройка платформа .NET Framework для поддержки TLS 1.2
- Обновление SQL Server и SQL Server Native Client
- Обновление Windows Server Update Services (WSUS)
Компоненты и зависимости сценариев
В этом разделе описываются зависимости для конкретных функций и сценариев Configuration Manager. Чтобы определить следующие шаги, найдите элементы, которые относятся к вашей среде.
| Компонент или сценарий | Задачи обновления |
|---|---|
| Серверы сайта (центральные, первичные или вторичные) | - Обновление платформа .NET Framework — проверка параметров строгого шифрования |
| Сервер базы данных сайта | Обновление SQL Server и его клиентских компонентов |
| Серверы вторичного сайта | Обновите SQL Server и клиентские компоненты до соответствующей версии SQL Server Express |
| Роли системы сайта | - Обновление платформа .NET Framework и проверка надежных параметров шифрования - Обновление SQL Server и его клиентских компонентов для ролей, которым это требуется, включая SQL Server Native Client |
| Точка служб Reporting Services | - Обновление платформа .NET Framework на сервере сайта, серверах SQL Server Reporting Services и любом компьютере с помощью консоли — при необходимости перезапустите службу SMS_Executive. |
| Точка обновления программного обеспечения | Обновление WSUS |
| Шлюз управления облаком | Принудительное применение TLS 1.2 |
| консоль Configuration Manager | - Обновление платформа .NET Framework — проверка параметров строгого шифрования |
| Configuration Manager клиента с ролями системы сайта HTTPS | Обновление Windows для поддержки TLS 1.2 для обмена данными между клиентом и сервером с помощью WinHTTP |
| Центр программного обеспечения | - Обновление платформа .NET Framework — проверка параметров строгого шифрования |
| Клиенты Windows 7 | Перед включением TLS 1.2 на любых серверных компонентах обновите Windows, чтобы обеспечить поддержку TLS 1.2 для обмена данными между клиентом и сервером с помощью WinHTTP. Если сначала включить TLS 1.2 на серверных компонентах, вы можете отключить более ранние версии клиентов. |
Вопросы и ответы
Зачем использовать TLS 1.2 с Configuration Manager?
ПРОТОКОЛ TLS 1.2 более защищен, чем предыдущие протоколы шифрования, такие как SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1. По сути, TLS 1.2 обеспечивает более безопасную передачу данных по сети.
Где Configuration Manager используют протоколы шифрования, такие как TLS 1.2?
Существует в основном пять областей, в которых Configuration Manager используются протоколы шифрования, такие как TLS 1.2:
- Клиент обмен данными с ролями сервера сайта на основе IIS, если роль настроена для использования ПРОТОКОЛА HTTPS. Примерами этих ролей являются точки распространения, точки обновления программного обеспечения и точки управления.
- Обмен данными между точками управления, sms Executive и поставщиком SMS с SQL. Configuration Manager всегда шифрует SQL Server связи.
- Сервер сайта и WSUS обмен данными, если службы WSUS настроены на использование HTTPS.
- Консоль Configuration Manager для SQL Server Reporting Services (SSRS), если службы SSRS настроены для использования HTTPS.
- Любые подключения к интернет-службам. Примерами являются шлюз управления облаком (CMG), синхронизация точки подключения службы и синхронизация метаданных обновления из Майкрософт Update.
Что определяет используемый протокол шифрования?
HTTPS всегда согласовывает самую высокую версию протокола, поддерживаемую клиентом и сервером в зашифрованном диалоге. При установке подключения клиент отправляет сообщение на сервер с самым высоким доступным протоколом. Если сервер поддерживает ту же версию, он отправляет сообщение с использованием этой версии. Эта согласованная версия используется для подключения. Если сервер не поддерживает версию, представленную клиентом, в сообщении сервера будет указана самая высокая версия, которую он может использовать. Дополнительные сведения о протоколе TLS Handshake см. в разделе Установка безопасного сеанса с помощью TLS.
Что определяет, какую версию протокола могут использовать клиент и сервер?
Как правило, следующие элементы могут определить, какая версия протокола используется:
- Приложение может определять, какие версии протокола следует согласовать.
- Рекомендуется избегать жесткого программирования определенных версий протокола на уровне приложения и следовать конфигурации, определенной на уровне протокола компонента и ОС.
- Configuration Manager следует этой рекомендации.
- Для приложений, написанных с помощью платформа .NET Framework, версии протокола по умолчанию зависят от версии платформы, в которой они были скомпилированы.
- Версии .NET до 4.6.3 по умолчанию не включали TLS 1.1 и 1.2 в список протоколов для согласования.
- Приложения, использующие WinHTTP для обмена данными по протоколу HTTPS, такие как клиент Configuration Manager, зависят от версии ОС, уровня исправлений и конфигурации для поддержки версий протокола.
Дополнительные ресурсы
- Технический справочник по средствам управления шифрованием
- Рекомендации по обеспечению безопасности на уровне транспорта (TLS) с помощью платформа .NET Framework
- KB 3135244: поддержка TLS 1.2 для Майкрософт SQL Server
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по