Включение TLS 1.2 на серверах сайта и удаленных системах сайта

  • Статья

Область применения: Configuration Manager (Current Branch)

При включении TLS 1.2 для среды Configuration Manager сначала включите TLS 1.2 для клиентов. Затем включите TLS 1.2 на серверах сайта и удаленных системах сайта. Наконец, протестируйте взаимодействие между клиентом и системой сайта перед отключением старых протоколов на стороне сервера. Для включения TLS 1.2 на серверах сайта и удаленных системах сайта необходимо выполнить следующие задачи:

  • Убедитесь, что протокол TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы.
  • Обновление и настройка платформа .NET Framework для поддержки TLS 1.2
  • Обновление SQL Server и клиентских компонентов
  • Обновление Windows Server Update Services (WSUS)

Дополнительные сведения о зависимостях для конкретных функций и сценариев Configuration Manager см. в статье О включении TLS 1.2.

Убедитесь, что протокол TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы.

В большинстве случаев использование протокола контролируется на трех уровнях: на уровне операционной системы, на уровне платформы или платформы, а также на уровне приложения. Протокол TLS 1.2 включен по умолчанию на уровне операционной системы. Убедившись, что значения реестра .NET настроены для включения TLS 1.2 и убедитесь, что среда правильно использует TLS 1.2 в сети, может потребоваться изменить SChannel\Protocols раздел реестра, чтобы отключить старые, менее безопасные протоколы. Дополнительные сведения об отключении TLS 1.0 и 1.1 см. в разделе Настройка протоколов Schannel в реестре Windows.

Обновление и настройка платформа .NET Framework для поддержки TLS 1.2

Определение версии .NET

Сначала определите установленные версии .NET. Подробные сведения см. в статье Как узнать, какие версии и пакеты обновления Microsoft .NET Framework установлены на компьютере

Установите обновления .NET

Установите обновления .NET, чтобы включить надежное шифрование. Для некоторых версий платформа .NET Framework могут потребоваться обновления для включения надежного шифрования. Воспользуйтесь следующими инструкциями:

  • NET Framework 4.6.2 и более поздних версий поддерживает TLS 1.1 и TLS 1.2. Подтвердите параметры реестра, но никаких дополнительных изменений не требуется.

    Примечание.

    Начиная с версии 2107 для Configuration Manager требуется Microsoft платформа .NET Framework версии 4.6.2 для серверов сайта, определенных систем сайта, клиентов и консоли. Если это возможно в вашей среде, установите последнюю версию .NET версии 4.8.

  • Обновление NET Framework 4.6 и более ранних версий для поддержки TLS 1.1 и TLS 1.2. Дополнительные сведения см. в статье о версиях и зависимостях в платформе .NET Framework.

  • Если вы используете платформа .NET Framework 4.5.1 или 4.5.2 на Windows 8.1, Windows Server 2012 R2 или Windows Server 2012, настоятельно рекомендуется установить последние обновления для системы безопасности для .NET Framework 4.5.1 и 4.5.2, чтобы обеспечить правильное включение TLS 1.2.

    Для справки протокол TLS 1.2 был впервые представлен в .Net Framework 4.5.1 и 4.5.2 со следующими накопительными пакетами исправлений:

Настройка для надежного шифрования

Настройте платформа .NET Framework для поддержки надежного шифрования. Задайте для SchUseStrongCrypto параметра реестра значение DWORD:00000001. Это значение отключает шифр потока RC4 и требует перезагрузки. Дополнительные сведения об этом параметре см. в 296038 рекомендаций по безопасности Майкрософт.

Обязательно задайте следующие разделы реестра на любом компьютере, который обменивается данными по сети с системой с поддержкой TLS 1.2. Например, Configuration Manager клиентов, удаленные роли системы сайта, не установленные на сервере сайта, и сам сервер сайта.

Для 32-разрядных приложений, работающих на 32-разрядных ос, и для 64-разрядных приложений, работающих на 64-разрядных ОС, обновите следующие значения подраздела:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Для 32-разрядных приложений на 64-разрядных системах измените следующие значения подразделов:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Примечание.

Этот SchUseStrongCrypto параметр позволяет .NET использовать TLS 1.1 и TLS 1.2. Этот SystemDefaultTlsVersions параметр позволяет .NET использовать конфигурацию ОС. Дополнительные сведения см. в статье Рекомендации по TLS с платформа .NET Framework.

Обновление SQL Server и клиентских компонентов

Microsoft SQL Server 2016 и более поздних версий поддерживают TLS 1.1 и TLS 1.2. Более ранние версии и зависимые библиотеки могут требовать обновления. Дополнительные сведения см. в статье KB 3135244: поддержка TLS 1.2 для Microsoft SQL Server.

Серверы вторичного сайта должны использовать как минимум SQL Server 2016 Express с пакетом обновления 2 (SP2) (13.2.50.26) или более поздней версии.

SQL Server Native Client

Примечание.

Kb 3135244 также описывает требования к клиентским компонентам SQL Server.

Обязательно обновите SQL Server Native Client по крайней мере до версии SQL Server 2012 с пакетом обновления 4 (SP4) (11.*.7001.0). Это требование является проверкой предварительных требований (предупреждение).

Configuration Manager использует SQL Server Native Client для следующих ролей системы сайта:

  • Сервер базы данных сайта
  • Сервер сайта: сайт центра администрирования, первичный сайт или вторичный сайт
  • Точка управления
  • Точка управления устройствами
  • Точка миграции состояния
  • Поставщик SMS
  • Точка обновления программного обеспечения
  • Точка распространения с поддержкой многоадресной рассылки
  • Точка обслуживания обновления аналитики активов
  • Точка служб Reporting Services
  • Точка регистрации
  • Точка Endpoint Protection
  • Точка подключения службы.
  • Точка регистрации сертификата
  • Точка обслуживания хранилища данных

Включение TLS 1.2 в масштабе с помощью автоматического управления конфигурацией компьютера и Azure Arc

Автоматически настраивает TLS 1.2 для клиента и сервера для компьютеров, работающих в Azure, локальных или многооблачных средах. Чтобы приступить к настройке TLS 1.2 на всех компьютерах, подключите их к Azure с помощью серверов с поддержкой Azure Arc, которые по умолчанию предоставляются с предварительным условием конфигурации компьютера. После подключения протокол TLS 1.2 можно настроить с простотой", развернув встроенное определение политики на портале Azure : настройка безопасных протоколов связи (TLS 1.1 или TLS 1.2) на серверах Windows. Область политики можно назначить на уровне подписки, группы ресурсов или группы управления, а также исключить любые ресурсы из определения политики.

После назначения конфигурации состояние соответствия ресурсов можно подробно просмотреть, перейдя на страницу Гостевые назначения и выбрав затронутые ресурсы.

Подробное пошаговое руководство см. в статье Последовательное обновление протокола TLS сервера с помощью Azure Arc и автоматическое управление конфигурацией компьютера.

Обновление Windows Server Update Services (WSUS)

Для поддержки TLS 1.2 в более ранних версиях WSUS установите на сервере WSUS следующее обновление:

  • Для сервера WSUS под управлением Windows Server 2012 установите обновление 4022721 или более позднюю накопительную версию.

  • Для сервера WSUS под управлением Windows Server 2012 R2 установите обновление 4022720 или более поздней версии накопительного пакета.

Начиная с Windows Server 2016, tls 1.2 по умолчанию поддерживается для WSUS. Обновления TLS 1.2 требуются только на серверах WSUS Windows Server 2012 и Windows Server 2012 R2.

Дальнейшие действия