Aktarım Katmanı Güvenliği 1.2'yi uygulama

Bu makalede, Bir System Center Operations Manager yönetim grubu için Aktarım Katmanı Güvenliği (TLS) protokolü sürüm 1.2'nin nasıl etkinleştirileceği açıklanır.

Not

Operations Manager, İşletim Sistemi Düzeyinde yapılandırılan protokolü kullanır. Örneğin, İşletim Sistemi Düzeyinde TLS 1.0, TLS 1.1 ve TLS 1.2 etkinleştirilirse, Operations Manager aşağıdaki tercih sırasına göre üç protokolden birini seçer:

1. TLS sürüm 1.2
2. TLS sürüm 1.1
3. TLS sürüm 1.0

Schannel SSP daha sonra istemci ve sunucunun destekleyebilecekleri en çok tercih edilen kimlik doğrulama protokollerini seçer.

TLS protokolü sürüm 1.2'yi etkinleştirmek için aşağıdaki adımları gerçekleştirin:

1. Tüm yönetim sunucularına ve Web konsolu sunucusuna Microsoft OLE DB Sürücüsü sürüm 18.2 ile 18.6.7 veya üzerini yükleyin.
2. .NET Framework 4.6'yı tüm yönetim sunucularına, ağ geçidi sunucularına, Web konsolu sunucusuna ve Operations Manager veritabanlarını ve Raporlama sunucusu rolünü barındıran SQL Server yükleyin.
3. TLS 1.2'yi destekleyen Gerekli SQL Server güncelleştirmesini yükleyin.
4. Tüm yönetim sunucularına ODBC Sürücüsü sürüm 17.3 ile 17.10.5 veya üzerini yükleyin.
5. Windows'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.
6. Operations Manager'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.

Operations Manager, SHA1 ve SHA2 otomatik olarak imzalanan sertifikalar oluşturur. TLS 1.2'yi etkinleştirmek için bu gereklidir. CA imzalı sertifikalar kullanılıyorsa sertifikaların SHA1 veya SHA2 olduğundan emin olun.

Windows İşletim Sistemi'ni yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırma

Windows'un yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırılması için aşağıdaki yöntemlerden birini kullanın.

1. Yöntem: Kayıt defterini el ile değiştirme

Önemli

Bu bölümdeki adımları dikkatle izleyin. Kayıt defterinde yanlış değişiklik yaparsanız önemli sorunlar oluşabilir. Değiştirmeden önce sorunların oluşması durumunda geri yüklemek için kayıt defterini yedekleyin.

Sistem genelinde tüm SCHANNEL protokollerini etkinleştirmek/devre dışı bırakmak için aşağıdaki adımları kullanın. Tüm gelen iletişimler ve giden iletişimler için TLS 1.2 protokolünü etkinleştirmenizi öneririz.

Not

Bu kayıt defteri değişikliklerinin yapılması Kerberos veya NTLM protokollerinin kullanımını etkilemez.

1. Yerel yönetici kimlik bilgilerine sahip bir hesap kullanarak sunucuda oturum açın.

2. Kayıt Defteri Düzenleyici Başlat'ı seçip basılı tutarak başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

3. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

4. SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 ve TLS 1.2protokolleri altında bir alt anahtar oluşturun.

5. Daha önce oluşturduğunuz her protokol sürümü alt anahtarı altında bir İstemci ve Sunucu alt anahtarı oluşturun. Örneğin, TLS 1.0 alt anahtarı ve HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\ServerolacaktırHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client.

6. Her protokolü devre dışı bırakmak için Sunucu ve İstemci altında aşağıdaki DWORD değerlerini oluşturun:

   • Etkin [Değer = 0]
   • DisabledByDefault [Değer = 1]

7. TLS 1.2 protokolunu etkinleştirmek için ve HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Serveraltında HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client aşağıdaki DWORD değerlerini oluşturun:

   • Etkin [Değer = 1]
   • DisabledByDefault [Değer = 0]

8. Kayıt Defteri Editörünü kapatın.

2. Yöntem: Kayıt defterini otomatik olarak değiştirme

Windows İşletim Sisteminizi yalnızca TLS 1.2 Protokolü kullanacak şekilde otomatik olarak yapılandırmak için aşağıdaki Windows PowerShell betiğini Yönetici olarak çalıştırın:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Operations Manager'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırma

Operations Manager için tüm önkoşulların yapılandırmasını tamamladıktan sonra, tüm yönetim sunucularında, Web konsolu rolünü barındıran sunucuda ve aracının yüklü olduğu herhangi bir Windows bilgisayarında aşağıdaki adımları gerçekleştirin.

Önemli

Bu bölümdeki adımları dikkatle izleyin. Kayıt defterinde yanlış değişiklik yaparsanız önemli sorunlar oluşabilir. Herhangi bir değişiklik yapmadan önce, sorun oluşması durumunda geri yükleme için kayıt defterini yedekleyin.

Kayıt defterini el ile değiştirme

1. Yerel yönetici kimlik bilgilerine sahip bir hesap kullanarak sunucuda oturum açın.
2. Kayıt Defteri Düzenleyici başlat'ı seçip Başlat'ı basılı tutarak Çalıştır metin kutusuna regedit yazın ve ardından Tamam'ı seçin.
3. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
4. Bu alt anahtar altında SchUseStrongCrypto DWORD değerini 1 değeriyle oluşturun.
5. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
6. Bu alt anahtar altında SchUseStrongCrypto DWORD değerini 1 değeriyle oluşturun.
7. Ayarların etkili olması için sistemi yeniden başlatın.

Kayıt defterini otomatik olarak değiştirme

Operations Manager'ı yalnızca TLS 1.2 Protokolü kullanacak şekilde otomatik olarak yapılandırmak için Yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Ek ayarlar

Linux sunucusunun desteklenen bir sürümünü Operations Manager ile izliyorsanız TLS 1.2'yi yapılandırmak için dağıtımınız için uygun web sitesindeki yönergeleri izleyin.

Denetim Toplama Hizmetleri

Denetim Toplama Hizmetleri (ACS) için, ACS Toplayıcı sunucusundaki kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. TLS 1.2 için işlevsel hale getirmek için DSN ayarlarını güncelleştirmeniz gerekir.

1. Yerel yönetici kimlik bilgilerine sahip bir hesap kullanarak sunucuda oturum açın.

2. Kayıt Defteri Düzenleyici Başlat'ı seçip basılı tutarak başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

3. OpsMgrAC için aşağıdaki ODBC alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

   Not

   Varsayılan DSN adı OpsMgrAC'dir.

4. ODBC Veri Kaynakları alt anahtarı altında, OpsMgrAC DSN adını seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 17 yüklüyse, SQL Server için bu adı ODBC Sürücüsü 17 olarak değiştirin.

5. OpsMgrAC alt anahtarı altında, yüklü ODBC sürümünün Sürücüsünü güncelleştirin.

   • ODBC 17 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql17.dlldeğiştirin.

   Kayıt Defteri Dosyası

   Alternatif olarak, Not Defteri'nde veya başka bir metin düzenleyicisinde aşağıdaki .reg dosyasını oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.

   • ODBC 17 için aşağıdaki ODBC 17.reg dosyasını oluşturun:

     Windows Registry Editor Version 5.00
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
     "OpsMgrAC"="ODBC Driver 17 for SQL Server"
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
     "Driver"="%WINDIR%\system32\msodbcsql17.dll"
     

   PowerShell

   Alternatif olarak, değişikliği otomatikleştirmek için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz.

   • ODBC 17 için aşağıdaki PowerShell komutlarını çalıştırın:

     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
     

Sonraki adımlar

• Kullanılan tüm bağlantı noktalarının listesi, iletişim yönü ve bağlantı noktalarının yapılandırılabilip yapılandırılamadığı hakkında bilgi için bkz. Operations Manager için Güvenlik Duvarı Yapılandırma.

• Bir yönetim grubundaki bileşenler arasındaki verilerin nasıl korunduğunu genel olarak gözden geçirmek için bkz. Operations Manager'da Kimlik Doğrulaması ve Veri Şifreleme.