Dela via


Så här aktiverar du TLS 1.2 på platsservrar och fjärrplatssystem

Gäller för: Configuration Manager (Current Branch)

När du aktiverar TLS 1.2 för din Configuration Manager-miljö börjar du med att aktivera TLS 1.2 för klienterna först. Aktivera sedan TLS 1.2 på platsservrarna och fjärrplatssystemen på andra plats. Testa slutligen kommunikation mellan klienter och platssystem innan du eventuellt inaktiverar de äldre protokollen på serversidan. Följande uppgifter krävs för att aktivera TLS 1.2 på platsservrar och fjärrplatssystem:

  • Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på operativsystemnivå
  • Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
  • Uppdatera SQL Server- och klientkomponenter
  • Uppdatera Windows Server Update Services (WSUS)

Mer information om beroenden för specifika Configuration Manager-funktioner och -scenarier finns i Om att aktivera TLS 1.2.

Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på operativsystemnivå

För det mesta styrs protokollanvändningen på tre nivåer, operativsystemnivå, ramverks- eller plattformsnivå och programnivå. TLS 1.2 är aktiverat som standard på operativsystemnivå. När du har kontrollerat att .NET-registervärdena är inställda på att aktivera TLS 1.2 och kontrollera att miljön använder TLS 1.2 på nätverket korrekt kan du redigera registernyckeln SChannel\Protocols för att inaktivera äldre, mindre säkra protokoll. Mer information om hur du inaktiverar TLS 1.0 och 1.1 finns i Konfigurera Schannel-protokoll i Windows-registret.

Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2

Fastställa .NET-version

Bestäm först de installerade .NET-versionerna. Mer information finns i Fastställ vilka versioner och Service Pack-nivåer för .NET Framework som är installerade.

Installera .NET-uppdateringar

Installera .NET-uppdateringarna så att du kan aktivera stark kryptografi. Vissa versioner av .NET Framework kan kräva uppdateringar för att aktivera stark kryptografi. Använd följande riktlinjer:

  • NET Framework 4.6.2 och senare stöder TLS 1.1 och TLS 1.2. Bekräfta registerinställningarna, men inga ytterligare ändringar krävs.

    Obs!

    Från och med version 2107 kräver Configuration Manager Microsoft .NET Framework version 4.6.2 för platsservrar, specifika platssystem, klienter och konsolen. Om möjligt i din miljö installerar du den senaste versionen av .NET version 4.8.

  • Uppdatera NET Framework 4.6 och tidigare versioner för att stödja TLS 1.1 och TLS 1.2. Mer information finns i Versioner och beroenden för .NET Framework.

  • Om du använder .NET Framework 4.5.1 eller 4.5.2 på Windows 8.1, Windows Server 2012 R2 eller Windows Server 2012 rekommenderar vi starkt att du installerar de senaste säkerhetsuppdateringarna för .Net Framework 4.5.1 och 4.5.2 för att säkerställa att TLS 1.2 kan aktiveras korrekt.

    Som referens introducerades TLS 1.2 först i .Net Framework 4.5.1 och 4.5.2 med följande sammanslagningar av snabbkorrigeringar:

Konfigurera för stark kryptografi

Konfigurera .NET Framework för att stödja stark kryptografi. Ange registerinställningen SchUseStrongCrypto till DWORD:00000001. Det här värdet inaktiverar RC4-ström chiffer och kräver en omstart. Mer information om den här inställningen finns i Microsoft Security Advisory 296038.

Se till att ange följande registernycklar på alla datorer som kommunicerar i nätverket med ett TLS 1.2-aktiverat system. Till exempel Configuration Manager-klienter, fjärrplatssystemroller som inte är installerade på platsservern och själva platsservern.

För 32-bitarsprogram som körs på 32-bitars operativsystem och för 64-bitarsprogram som körs på 64-bitars operativsystem uppdaterar du följande undernyckelvärden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

För 32-bitars applikationer som körs på 64-bitars operativsystem uppdaterar du följande värden för undernyckeln:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Obs!

Med SchUseStrongCrypto inställningen kan .NET använda TLS 1.1 och TLS 1.2. Med SystemDefaultTlsVersions inställningen kan .NET använda OS-konfigurationen. Mer information finns i Metodtips för TLS med .NET Framework.

Uppdatera SQL Server- och klientkomponenter

Microsoft SQL Server 2016 och senare stöder TLS 1.1 och TLS 1.2. Tidigare versioner och beroende bibliotek kan kräva uppdateringar. Mer information finns i KB-3135244: TLS 1.2-stöd för Microsoft SQL Server.

Sekundära platsservrar måste använda minst SQL Server 2016 Express med Service Pack 2 (13.2.50.26) eller senare.

Inbyggd klient för SQL Server

Obs!

KB-3135244 beskriver också kraven för SQL Server-klientkomponenter.

Se även till att uppdatera den interna SQL Server-klienten till minst version SQL Server 2012 SP4 (11.*.7001.0). Det här kravet är en kravkontroll (varning).

Configuration Manager använder SQL Server Native Client på följande platssystemroller:

  • Platsdatabasserver
  • Platsserver: central administrationsplats, primär plats eller sekundär plats
  • Hanteringsplats
  • Enhetshanteringsplats
  • Tillståndsmigreringsplats
  • SMS-provider
  • Programuppdateringsplats
  • Multicast-aktiverad distributionsplats
  • Tjänstplats för tillgångsinformationsuppdatering
  • Reporting Services-plats
  • Registreringsplats
  • Slutpunktsskyddspunkt
  • Tjänstanslutningspunkt
  • Certifikatregistreringsplats
  • Informationslagertjänstpunkt

Aktivera TLS 1.2 i stor skala med hjälp av Automatisk hantering av datorkonfiguration och Azure Arc

Konfigurerar automatiskt TLS 1.2 på både klient- och servernivå för datorer som körs i Azure-miljöer, lokala miljöer eller miljöer med flera moln. Om du vill komma igång med att konfigurera TLS 1.2 på dina datorer ansluter du dem till Azure med Hjälp av Azure Arc-aktiverade servrar, vilket medföljer datorkonfigurationskraven som standard. När du är ansluten kan TLS 1.2 konfigureras med enkelhet med peka och klicka genom att distribuera den inbyggda principdefinitionen i Azure-portalen: Konfigurera protokoll för säker kommunikation (TLS 1.1 eller TLS 1.2) på Windows-servrar. Principomfånget kan tilldelas på prenumerations-, resursgrupps- eller hanteringsgruppsnivå samt exkludera resurser från principdefinitionen.

När konfigurationen har tilldelats kan efterlevnadsstatusen för dina resurser visas i detalj genom att gå till sidan Gästtilldelningar och gå ned till de resurser som påverkas.

En detaljerad stegvis självstudiekurs finns i Uppgradera serverns TLS-protokoll konsekvent med Azure Arc och Automanage Machine Configuration.

Uppdatera Windows Server Update Services (WSUS)

TLS 1.2 stöds som standard för WSUS på alla versioner av Windows Server som stöds för närvarande .

Installera följande uppdatering på WSUS-servern för att stödja TLS 1.2 i tidigare versioner av WSUS:

  • För WSUS-server som kör Windows Server 2012 installerar du update 4022721 eller en senare samlad uppdatering.

  • För WSUS-server som kör Windows Server 2012 R2 installerar du uppdatering 4022720 eller en senare samlad uppdatering.

Obs!

Den 10 oktober 2023 gick Windows Server 2012 och Windows Server 2012 R2 in i fasen Utökade supportuppdateringar. Microsoft kommer inte längre att ge stöd för Configuration Manager-platsservrar eller roller som är installerade i dessa operativsystem. Mer information finns i Utökade säkerhetsuppdateringar och Configuration Manager.

Nästa steg