Så här aktiverar du TLS 1.2 på platsservrar och fjärrplatssystem
Gäller för: Configuration Manager (aktuell gren)
När du aktiverar TLS 1.2 för din Configuration Manager-miljö börjar du med att aktivera TLS 1.2 för klienterna först. Aktivera sedan TLS 1.2 på platsservrarna och fjärrplatssystemen på andra plats. Testa slutligen kommunikation mellan klienter och platssystem innan du eventuellt inaktiverar de äldre protokollen på serversidan. Följande uppgifter krävs för att aktivera TLS 1.2 på platsservrar och fjärrplatssystem:
- Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på operativsystemnivå
- Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
- Uppdatera SQL Server- och klientkomponenter
- Uppdatera Windows Server Update Services (WSUS)
Mer information om beroenden för specifika Configuration Manager funktioner och scenarier finns i Om att aktivera TLS 1.2.
Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på operativsystemnivå
För det mesta styrs protokollanvändningen på tre nivåer, operativsystemnivå, ramverks- eller plattformsnivå och programnivå. TLS 1.2 är aktiverat som standard på operativsystemnivå. När du har kontrollerat att .NET-registervärdena har angetts för att aktivera TLS 1.2 och kontrollera att miljön använder TLS 1.2 på nätverket korrekt, kanske du vill redigera registernyckeln SChannel\Protocols för att inaktivera äldre, mindre säkra protokoll. Mer information om hur du inaktiverar TLS 1.0 och 1.1 finns i Konfigurera Schannel-protokoll i Windows-registret.
Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
Fastställa .NET-version
Bestäm först de installerade .NET-versionerna. Mer information finns i Fastställ vilka versioner och Service Pack-nivåer för .NET Framework som är installerade.
Installera .NET-uppdateringar
Installera .NET-uppdateringarna så att du kan aktivera stark kryptografi. Vissa versioner av .NET Framework kan kräva uppdateringar för att aktivera stark kryptografi. Använd följande riktlinjer:
NET Framework 4.6.2 och senare stöder TLS 1.1 och TLS 1.2. Bekräfta registerinställningarna, men inga ytterligare ändringar krävs.
Obs!
Från och med version 2107 kräver Configuration Manager Microsoft .NET Framework version 4.6.2 för platsservrar, specifika platssystem, klienter och konsolen. Om möjligt i din miljö installerar du den senaste versionen av .NET version 4.8.
Uppdatera NET Framework 4.6 och tidigare versioner för att stödja TLS 1.1 och TLS 1.2. Mer information finns i Versioner och beroenden för .NET Framework.
Om du använder .NET Framework 4.5.1 eller 4.5.2 på Windows 8.1, Windows Server 2012 R2 eller Windows Server 2012 rekommenderar vi starkt att du installerar de senaste säkerhetsuppdateringarna för .Net Framework 4.5.1 och 4.5.2 för att säkerställa att TLS 1.2 kan aktiveras korrekt.
Som referens introducerades TLS 1.2 först i .Net Framework 4.5.1 och 4.5.2 med följande sammanslagningar av snabbkorrigeringar:
- För Windows 8.1 och Server 2012 R2: Sammanslagning av snabbkorrigeringar 3099842
- För Windows Server 2012: Sammanslagning av snabbkorrigeringar 3099844
Konfigurera för stark kryptografi
Konfigurera .NET Framework för att stödja stark kryptografi. Ange registerinställningen SchUseStrongCrypto till DWORD:00000001. Det här värdet inaktiverar RC4-ström chiffer och kräver en omstart. Mer information om den här inställningen finns i Microsoft Security Advisory 296038.
Se till att ange följande registernycklar på alla datorer som kommunicerar i nätverket med ett TLS 1.2-aktiverat system. Till exempel Configuration Manager klienter, fjärrplatssystemroller som inte är installerade på platsservern och själva platsservern.
För 32-bitarsprogram som körs på 32-bitars operativsystem och för 64-bitarsprogram som körs på 64-bitars operativsystem uppdaterar du följande undernyckelvärden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
För 32-bitars applikationer som körs på 64-bitars operativsystem uppdaterar du följande värden för undernyckeln:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Obs!
Med SchUseStrongCrypto inställningen kan .NET använda TLS 1.1 och TLS 1.2. Med SystemDefaultTlsVersions inställningen kan .NET använda OS-konfigurationen. Mer information finns i Metodtips för TLS med .NET Framework.
Uppdatera SQL Server- och klientkomponenter
Microsoft SQL Server 2016 och senare stöder TLS 1.1 och TLS 1.2. Tidigare versioner och beroende bibliotek kan kräva uppdateringar. Mer information finns i KB-3135244: TLS 1.2-stöd för Microsoft SQL Server.
Sekundära platsservrar måste använda minst SQL Server 2016 Express med Service Pack 2 (13.2.50.26) eller senare.
Inbyggd klient för SQL Server
Obs!
KB-3135244 beskriver också kraven för SQL Server klientkomponenter.
Se även till att uppdatera SQL Server Native Client till minst version SQL Server 2012 SP4 (11.*.7001.0). Det här kravet är en kravkontroll (varning).
Configuration Manager använder SQL Server Native Client på följande platssystemroller:
- Platsdatabasserver
- Platsserver: central administrationsplats, primär plats eller sekundär plats
- Hanteringsplats
- Enhetshanteringsplats
- Tillståndsmigreringsplats
- SMS-provider
- Programuppdateringsplats
- Multicast-aktiverad distributionsplats
- Tjänstplats för tillgångsinformationsuppdatering
- Reporting Services-plats
- Registreringsplats
- Slutpunktsskyddspunkt
- Tjänstanslutningspunkt
- Certifikatregistreringsplats
- Informationslagertjänstpunkt
Aktivera TLS 1.2 i stor skala med hjälp av Automatisk hantering av datorkonfiguration och Azure Arc
Konfigurerar automatiskt TLS 1.2 på både klient- och servernivå för datorer som körs i Azure-miljöer, lokala miljöer eller miljöer med flera moln. Om du vill komma igång med att konfigurera TLS 1.2 på dina datorer ansluter du dem till Azure med Hjälp av Azure Arc-aktiverade servrar, vilket medföljer datorkonfigurationskraven som standard. När du är ansluten kan TLS 1.2 konfigureras med enkelhet med peka och klicka genom att distribuera den inbyggda principdefinitionen i Azure-portalen: Konfigurera protokoll för säker kommunikation (TLS 1.1 eller TLS 1.2) på Windows-servrar. Principomfånget kan tilldelas på prenumerations-, resursgrupps- eller hanteringsgruppsnivå samt exkludera resurser från principdefinitionen.
När konfigurationen har tilldelats kan efterlevnadsstatusen för dina resurser visas i detalj genom att gå till sidan Gästtilldelningar och gå ned till de resurser som påverkas.
En detaljerad stegvis självstudiekurs finns i Uppgradera serverns TLS-protokoll konsekvent med Azure Arc och Automanage Machine Configuration.
Uppdatera Windows Server Update Services (WSUS)
Installera följande uppdatering på WSUS-servern för att stödja TLS 1.2 i tidigare versioner av WSUS:
För WSUS-server som kör Windows Server 2012 installerar du uppdatering 4022721 eller en senare samlad uppdatering.
För WSUS-server som kör Windows Server 2012 R2 installerar du uppdatering 4022720 eller en senare samlad uppdatering.
Från och med Windows Server 2016 stöds TLS 1.2 som standard för WSUS. TLS 1.2-uppdateringar behövs bara på Windows Server 2012- och Windows Server 2012 R2 WSUS-servrar.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för