Site sunucularında ve uzak site sistemlerinde TLS 1.2'yi etkinleştirme

  • Makale

Şunlar için geçerlidir: Configuration Manager (Geçerli Dal)

Configuration Manager ortamınız için TLS 1.2'yi etkinleştirirken öncelikle istemciler için TLS 1.2'yi etkinleştirmeye başlayın. Ardından, ikinci olarak site sunucularında ve uzak site sistemlerinde TLS 1.2'yi etkinleştirin. Son olarak, sunucu tarafındaki eski protokolleri devre dışı bırakmadan önce istemciden siteye sistem iletişimlerini test edin. Site sunucularında ve uzak site sistemlerinde TLS 1.2'yi etkinleştirmek için aşağıdaki görevler gereklidir:

  • TLS 1.2'nin işletim sistemi düzeyinde SChannel için bir protokol olarak etkinleştirildiğinden emin olun
  • .NET Framework TLS 1.2'yi destekleyecek şekilde güncelleştirme ve yapılandırma
  • SQL Server ve istemci bileşenlerini güncelleştirme
  • Windows Server Update Services'ı (WSUS) güncelleştirme

Belirli Configuration Manager özellikleri ve senaryoları için bağımlılıklar hakkında daha fazla bilgi için bkz. TLS 1.2'yi etkinleştirme hakkında.

TLS 1.2'nin işletim sistemi düzeyinde SChannel için bir protokol olarak etkinleştirildiğinden emin olun

Çoğu zaman protokol kullanımı işletim sistemi düzeyi, çerçeve veya platform düzeyi ve uygulama düzeyi gibi üç düzeyde denetlenmektedir. TLS 1.2 varsayılan olarak işletim sistemi düzeyinde etkindir. .NET kayıt defteri değerlerinin TLS 1.2'yi etkinleştirecek şekilde ayarlandığından ve ortamın ağdaki TLS 1.2'yi düzgün bir şekilde kullandığınızdan emin olduktan sonra, daha eski, daha az güvenli protokolleri devre dışı bırakmak için kayıt defteri anahtarını düzenlemek SChannel\Protocols isteyebilirsiniz. TLS 1.0 ve 1.1'i devre dışı bırakma hakkında daha fazla bilgi için bkz . Windows Kayıt Defteri'nde Schannel protokollerini yapılandırma.

.NET Framework TLS 1.2'yi destekleyecek şekilde güncelleştirme ve yapılandırma

.NET sürümünü belirleme

İlk olarak, yüklü .NET sürümlerini belirleyin. Daha fazla bilgi için bkz. hangi .NET Framework sürümlerinin ve hizmet paketi düzeylerinin yüklendiğini belirleme.

.NET güncelleştirmelerini yükleme

Güçlü şifrelemeyi etkinleştirebilmeniz için .NET güncelleştirmelerini yükleyin. bazı .NET Framework sürümleri güçlü şifrelemeyi etkinleştirmek için güncelleştirmeler gerektirebilir. Şu yönergeleri kullanın:

  • NET Framework 4.6.2 ve üzeri TLS 1.1 ve TLS 1.2'i destekler. Kayıt defteri ayarlarını onaylayın, ancak ek değişiklik gerekmez.

    Not

    Sürüm 2107'den başlayarak, Configuration Manager site sunucuları, belirli site sistemleri, istemciler ve konsol için Microsoft .NET Framework sürüm 4.6.2 gerektirir. Ortamınızda mümkünse.NET sürüm 4.8'in en son sürümünü yükleyin.

  • NET Framework 4.6 ve önceki sürümleri TLS 1.1 ve TLS 1.2'yi destekleyecek şekilde güncelleştirin. Daha fazla bilgi için bkz. .NET Framework sürümleri ve bağımlılıkları.

  • Windows 8.1 Windows Server 2012, R2 veya Windows Server 2012 üzerinde .NET Framework 4.5.1 veya 4.5.2 kullanıyorsanız, TLS 1.2'nin düzgün etkinleştirildiğinden emin olmak için .Net Framework 4.5.1 ve 4.5.2 için en son güvenlik güncelleştirmelerini yüklemeniz kesinlikle önerilir.

    Başvurunuz için TLS 1.2 ilk olarak .Net Framework 4.5.1 ve 4.5.2'ye aşağıdaki düzeltme toplamalarıyla sunulmuştur:

Güçlü şifreleme için yapılandırma

güçlü şifrelemeyi desteklemek için .NET Framework yapılandırın. SchUseStrongCrypto Kayıt defteri ayarını olarak DWORD:00000001ayarlayın. Bu değer RC4 akış şifrelemesini devre dışı bırakır ve yeniden başlatma gerektirir. Bu ayar hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Önerisi 296038.

TLS 1.2 özellikli bir sistemle ağ üzerinden iletişim kuran herhangi bir bilgisayarda aşağıdaki kayıt defteri anahtarlarını ayarladığınızdan emin olun. Örneğin, Configuration Manager istemcileri, site sunucusunda yüklü olmayan uzak site sistemi rolleri ve site sunucusunun kendisi.

32 bit işletim sistemi üzerinde çalışan 32 bit uygulamalar ve 64 bit işletim sisteminde çalışan 64 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64 bit işletim sistemleri üzerinde çalışan 32 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Not

Bu SchUseStrongCrypto ayar .NET'in TLS 1.1 ve TLS 1.2 kullanmasına olanak tanır. Bu SystemDefaultTlsVersions ayar .NET'in işletim sistemi yapılandırmasını kullanmasına izin verir. Daha fazla bilgi için bkz. .NET Framework ile en iyi TLS yöntemleri.

SQL Server ve istemci bileşenlerini güncelleştirme

Microsoft SQL Server 2016 ve üzeri TLS 1.1 ve TLS 1.2 sürümlerini destekler. Önceki sürümler ve bağımlı kitaplıklar güncelleştirme gerektirebilir. Daha fazla bilgi için bkz. KB 3135244: Microsoft SQL Server için TLS 1.2 desteği.

İkincil site sunucularının Service Pack 2 (13.2.50.26) veya üzeri yüklü en az SQL Server 2016 Express kullanması gerekir.

SQL Server Native Client

Not

KB 3135244, SQL Server istemci bileşenlerine yönelik gereksinimleri de açıklar.

Ayrıca SQL Server Native Client en az SQL Server 2012 SP4 (11.*.7001.0) sürümüne güncelleştirdiğinden emin olun. Bu gereksinim bir önkoşul denetimidir (uyarı).

Configuration Manager aşağıdaki site sistemi rollerinde SQL Server Native Client kullanır:

  • Site veritabanı sunucusu
  • Site sunucusu: merkezi yönetim sitesi, birincil site veya ikincil site
  • Yönetim noktası
  • Cihaz yönetim noktası
  • Durum geçiş noktası
  • SMS Sağlayıcısı
  • Yazılım güncelleştirme noktası
  • Çok noktaya yayın özellikli dağıtım noktası
  • Varlık Yönetim Bilgileri güncelleştirme hizmet noktası
  • Raporlama hizmetleri noktası
  • Kayıt noktası
  • Endpoint Protection noktası
  • Hizmet bağlantı noktası
  • Sertifika kayıt noktası
  • Veri ambarı hizmet noktası

Otomatik Yönetim Makine Yapılandırması ve Azure Arc kullanarak TLS 1.2'yi uygun ölçekte etkinleştirme

TLS 1.2'yi Hem istemci hem de sunucuda Azure'da, şirket içi veya çok bulutlu ortamlarda çalışan makineler için otomatik olarak yapılandırılır. TlS 1.2'yi makineleriniz genelinde yapılandırmaya başlamak için, varsayılan olarak Makine Yapılandırması önkoşuluyla birlikte gelen Azure Arc özellikli sunucuları kullanarak bunları Azure'a bağlayın. Bağlandıktan sonra TLS 1.2, Azure Portal'da yerleşik ilke tanımını dağıtarak nokta ve tıklama kolaylığıyla yapılandırılabilir: Windows sunucularında güvenli iletişim protokollerini (TLS 1.1 veya TLS 1.2) yapılandırma. İlke kapsamı abonelik, kaynak grubu veya yönetim grubu düzeyinde atanabilir ve tüm kaynakları ilke tanımından dışlayabilir.

Yapılandırma atandıktan sonra Konuk Atamaları sayfasına gidip etkilenen kaynakların kapsamını daraltarak kaynaklarınızın uyumluluk durumu ayrıntılı olarak görüntülenebilir.

Ayrıntılı, adım adım öğretici için bkz. Azure Arc ve Otomatik Yönetim Makine Yapılandırmasını kullanarak sunucu TLS protokolünüzü tutarlı bir şekilde yükseltme.

Windows Server Update Services'ı (WSUS) güncelleştirme

WSUS'un önceki sürümlerinde TLS 1.2'yi desteklemek için WSUS sunucusuna aşağıdaki güncelleştirmeyi yükleyin:

  • Windows Server 2012 çalıştıran WSUS sunucusu için güncelleştirme 4022721 veya sonraki bir güncelleştirme paketi yükleyin.

  • Windows Server 2012 R2 çalıştıran WSUS sunucusu için güncelleştirme 4022720 veya sonraki bir güncelleştirme paketi yükleyin.

Windows Server 2016'den başlayarak TLS 1.2, WSUS için varsayılan olarak desteklenir. TLS 1.2 güncelleştirmeleri yalnızca Windows Server 2012 ve Windows Server 2012 R2 WSUS sunucularında gereklidir.

Sonraki adımlar