Aracılığıyla paylaş

Aktarım Katmanı Güvenliğini Uygulama 1.2

  • Makale

Bu makalede, System Center Operations Manager'ın Aktarım Katmanı Güvenliği (TLS) 1.2'yi kullanmasına izin verme işlemi açıklanmaktadır.

Not

Operations Manager, İşletim Sistemi düzeyinde yapılandırılan protokolü kullanır. Örneğin, İŞLETIM Sistemi Düzeyinde TLS 1.0, TLS 1.1 ve TLS 1.2 etkinleştirilirse Operations Manager aşağıdaki tercih sırasına göre üç protokolden birini seçer:

  1. TLS sürüm 1.2
  2. TLS sürüm 1.1
  3. TLS sürüm 1.0

Schannel SSP daha sonra istemci ve sunucunun destekleyebilecekleri en çok tercih edilen kimlik doğrulama protokollerini seçer.

Operations Manager'da TLS protokolü sürüm 1.2'yi uygulamak için aşağıdaki adımları gerçekleştirin:

Not

SQL Server için Microsoft OLE DB Sürücüsü 18 (önerilir), Operations Manager 2016 UR9 ve üzeri sürümlerde desteklenir.

  1. Tüm yönetim sunucularına ve web konsolu sunucusuna SQL Server 2012 Native Client 11.0 veya Microsoft OLE DB Sürücüsü (x64) yükleyin.
  2. Tüm yönetim sunucularına ve web konsolu sunucusuna Microsoft ODBC Sürücüsü (x64) yükleyin.
  3. TLS 1.2'yi destekleyen Gerekli SQL Server güncelleştirmesini yükleyin.
  4. Tüm bileşenlere SCOM 2016 için en az Güncelleştirme Paketi 4 yükleyin.
  5. Sunucularınızın işletim sisteminizle uyumlu olarak en az .NET 4.6 yüklü olduğundan emin olun: .NET Framework sürümleri ve bağımlılıkları
    1. SCOM 2016 uyumsuzluklarıyla ilgili bilinen sorunlar olduğu için .NET 4.8'i yüklemeyin.
  6. Windows'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.
  7. .NET'i varsayılan olarak TLS 1.2 kullanacak şekilde yapılandırın.
  8. Yüklüyse Denetim Toplama Hizmetleri'ni yapılandırın.
  1. SQL sürüm 18.7.4 için Microsoft OLE DB Sürücüsünü tüm yönetim sunucularına ve web konsolu sunucusuna yükleyin.
  2. SQL sürüm 17.10.6 için Microsoft ODBC Sürücüsünü tüm yönetim sunucularına ve web konsolu sunucusuna yükleyin.
  3. Windows'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.
  4. .NET'i varsayılan olarak TLS 1.2 kullanacak şekilde yapılandırın.
  5. Yüklüyse Denetim Toplama Hizmetleri'ni yapılandırın.

Not

SQL Server bağlantı şifrelemesini kullanıyorsanız, bunun yerine şu sürücü sürümlerini yüklemeniz gerekir:

SQL bağlantı şifrelemesini yapılandırma hakkında daha fazla bilgiyi burada bulabilirsiniz: BAĞLANTıLARı şifrelemek için SQL Server Veritabanı Altyapısı'nı yapılandırma

Operations Manager, SHA1 ve SHA2 otomatik olarak imzalanan sertifikalar oluşturur. TLS 1.2'yi etkinleştirmek için bu gereklidir. CA imzalı sertifikalar kullanılıyorsa, sertifikaların SHA1 veya SHA2 olduğundan emin olun.

Not

Güvenlik ilkeleriniz TLS 1.0 ve 1.1'i kısıtlarsa, kurulum medyası TLS 1.2'yi destekleyecek güncelleştirmeleri içermediğinden yeni bir Operations Manager 2016 yönetim sunucusu, ağ geçidi sunucusu, Web konsolu ve Raporlama hizmetleri rolü yüklenemez. Bu rolleri yüklemenin tek yolu sistemde TLS 1.0'ı etkinleştirmek, Güncelleştirme Paketi 4'ü uygulamak ve ardından sistemde TLS 1.2'yi etkinleştirmektir. Bu sınırlama Operations Manager sürüm 1801 için geçerli değildir.

Windows İşletim Sistemi'ni yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırma

Windows'un yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırılması için aşağıdaki yöntemlerden birini kullanın.

1. Yöntem: Kayıt defterini el ile değiştirme

Önemli

Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, bir sorun olması halinde geri yükleyebilmek için kayıt defterini yedekleyin.

Sistem genelinde tüm SCHANNEL protokollerini etkinleştirmek/devre dışı bırakmak için aşağıdaki adımları kullanın. Tüm gelen iletişimler ve giden iletişimler için TLS 1.2 protokolünü etkinleştirmenizi öneririz.

Not

Bu kayıt defteri değişikliklerinin yapılması Kerberos veya NTLM protokollerinin kullanımını etkilemez.

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.

  2. Başlat'ı seçip basılı tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

  3. Aşağıdaki kayıt defteri alt anahtarlarını bulun:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  4. Protokoller altında aşağıdakiler için bir alt anahtar oluşturun:

    1. SSL 2.0
    2. SSL 3.0
    3. TLS 1.0
    4. TLS 1.1
    5. TLS 1.2.

  5. Daha önce oluşturduğunuz her protokol sürümü alt anahtarı altında bir İstemci ve Sunucu alt anahtarı oluşturun. Örneğin, TLS 1.0 alt anahtarı

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

  6. Her protokolü devre dışı bırakmak için Sunucu ve İstemci altında aşağıdaki DWORD değerlerini oluşturun:

    • Etkin [Değer = 0]
    • DisabledByDefault [Değer = 1]

  7. TLS 1.2 protokolunu etkinleştirmek için aşağıdaki kayıt defteri anahtarlarını oluşturun:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

  8. Ardından Sunucu ve İstemci altında aşağıdaki DWORD değerlerini oluşturun:

    • Etkin [Değer = 1]
    • DisabledByDefault [Değer = 0]

  9. Kayıt Defteri Düzenleyicisi'ni kapatın.

2. Yöntem: Kayıt defterini otomatik olarak değiştirme

Windows İşletim Sisteminizi yalnızca TLS 1.2 Protokolü kullanacak şekilde otomatik olarak yapılandırmak için aşağıdaki Windows PowerShell betiğini Yönetici olarak çalıştırın:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
    foreach ($key in $ProtocolSubKeyList)
    {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Output "Current Registry Path: `"$currentRegPath`""

  if (!(Test-Path $currentRegPath))
  {
    Write-Output " `'$key`' not found: Creating new Registry Key"
    New-Item -Path $currentRegPath -Force | out-Null
  }
  if ($Protocol -eq "TLS 1.2")
  {
    Write-Output " Enabling - TLS 1.2"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
  }
  else
  {
    Write-Output " Disabling - $Protocol"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
  }
  Write-Output " "
}

.NET Framework'i yalnızca TLS 1.2 kullanacak şekilde yapılandırma

.NET genellikle uygulamanın iletişim için hangi TLS protokolünün kullanılacağını tanımlamasını gerektirir, ancak SCOM örneğinde.NET sistem genelinde hangi protokolün kullanılacağını söylememiz gerekir.

Operations Manager için tüm önkoşulların yapılandırmasını tamamladıktan sonra, aşağıdaki adımları tüm yönetim sunucularında, Web konsolu rolünü barındıran sunucuda ve aracının yüklü olduğu herhangi bir Windows bilgisayarda gerçekleştirin.

Önemli

Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Herhangi bir değişiklik yapmadan önce, sorun oluşması durumunda geri yükleme için kayıt defterini yedekleyin.

Not

Windows OS 2012 üzerinde çalışan SCOM, UNIX/LINUX izlemesi için HTTP üzerinden TLS 1.2'yi kullanmak için ek değişikliklere ihtiyaç duyar. TlS 1.2'yi Windows'da WinHTTP'da varsayılan güvenlik protokolleri olarak etkinleştirmek için, Windows'da WinHTTP'da varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için Güncelleştirme'ye göre aşağıdaki değişikliklerin yapılması gerekir.

  1. UNIX/LINUX Kaynak Havuzu'ndaki Yönetim Sunucuları/Ağ Geçitleri Sunucuları'na KB3140245 yükleyin.
  2. KB makalesinde belirtildiği gibi değiştirilen kayıt defterlerini yedekleyin.
  3. Unix/LINUX Kaynak Havuzu'ndaki Yönetim Sunucuları/Ağ Geçitleri'nde Kolay Düzeltme aracını indirin ve çalıştırın.
  4. Sunucuları yeniden başlatın.

Kayıt defterini el ile değiştirme

  1. Kayıt Defteri Düzenleyicisi'ni açma
  2. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727
    1. Aşağıdaki DWORD değer çiftlerini oluşturun:
      • SchUseStrongCrypto [Değer = 1]
      • SystemDefaultTlsVersions [Değer = 1]
  3. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727
    1. Aşağıdaki DWORD değer çiftlerini oluşturun:
      • SchUseStrongCrypto [Değer = 1]
      • SystemDefaultTlsVersions [Değer = 1]
  4. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    1. Aşağıdaki DWORD değer çiftlerini oluşturun:
      • SchUseStrongCrypto [Değer = 1]
      • SystemDefaultTlsVersions [Değer = 1]
  5. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    1. Aşağıdaki DWORD değer çiftlerini oluşturun:
      • SchUseStrongCrypto [Değer = 1]
      • SystemDefaultTlsVersions [Değer = 1]
  6. Ayarların etkili olması için sistemi yeniden başlatın.

Kayıt defterini otomatik olarak değiştirme

.NET Framework'ün çerçeve devralınan TLS 1.0 bağımlılıklarını engelleyecek şekilde otomatik olarak yapılandırılması için yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:

# Tighten up the .NET Framework
$NetRegistryPath1 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath1 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath1 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath2 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath2 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath2 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath3 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath3 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath3 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath4 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath4 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath4 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

Ek ayarlar

Bu, System Center 2016 - Operations Manager için uygulanıyorsa, Güncelleştirme Paketi 4 uygulandıktan sonra, şu dizinde bulunan bu toplamaya dahil olan yönetim paketlerini içeri aktarın: \Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.

Linux sunucusunun desteklenen bir sürümünü Operations Manager ile izliyorsanız, TLS 1.2'yi yapılandırmak üzere dağıtımınız için uygun web sitesindeki yönergeleri izleyin.

Denetim Toplama Hizmetleri

Denetim Toplama Hizmetleri (ACS) için, ACS Toplayıcı sunucusundaki kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. DSN ayarlarını TLS 1.2 için işlevsel hale getirmek için güncelleştirmeniz gerekir.

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.

  2. Başlat'ı seçip basılı tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

  3. OpsMgrAC için aşağıdaki ODBC alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Not

    Varsayılan DSN adı OpsMgrAC'dir.

  4. ODBC Veri Kaynakları alt anahtarı altında, OpsMgrAC DSN adını seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 11.0 yüklüyse, bu adı SQL Server için ODBC Sürücüsü 11 olarak değiştirin veya ODBC 13.0 yüklüyse, bu adı SQL Server için ODBC Sürücüsü 13 olarak değiştirin.

  5. OpsMgrAC alt anahtarı altında, yüklü ODBC sürümünün Sürücüsünü güncelleştirin.

    • ODBC 11.0 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql11.dlldeğiştirin.
    • ODBC 13.0 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql13.dlldeğiştirin.
    • ODBC 17.0 yüklüyse, Sürücü girdisini olarak %WINDIR%\system32\msodbcsql17.dlldeğiştirin.
    • ODBC 18.0 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql18.dlldeğiştirin.

Kayıt Defteri Dosyası

Alternatif olarak, Not Defteri'nde veya başka bir metin düzenleyicisinde aşağıdaki .reg dosyasını oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.

  • ODBC 11.0, 13.0, 17.x veya 18.x için. ve ODBC.reg aşağıdaki dosyayı oluşturun (değerini kullanılan ODBC sürümüyle değiştirin) :

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 18 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql18.dll"

PowerShell

Alternatif olarak, değişikliği otomatikleştirmek için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz.

  • ODBC 11.0 için aşağıdaki PowerShell komutlarını çalıştırın:

    New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null

  • ODBC 13.0 için aşağıdaki PowerShell komutlarını çalıştırın:

    New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null

Denetim Toplama Hizmetleri

Denetim Toplama Hizmetleri (ACS) için, ACS Toplayıcı sunucusundaki kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. DSN ayarlarını TLS 1.2 için işlevsel hale getirmek için güncelleştirmeniz gerekir.

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.
  2. Başlat'ı seçip basılı tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.
  3. OpsMgrAC için aşağıdaki ODBC alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

Not

Varsayılan DSN adı OpsMgrAC'dir.

  1. ODBC Veri Kaynakları alt anahtarı altında, OpsMgrAC DSN adını seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 17 yüklüyse, bu adı SQL Server için ODBC Sürücüsü 17 olarak değiştirin.
  2. OpsMgrAC alt anahtarı altında, yüklü ODBC sürümünün Sürücüsünü güncelleştirin.
    • Örneğin, ODBC 17 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql17.dlldeğiştirin.
    • Farklıysa yüklenen ODBC sürücüsünün geçerli sürümü için DLL'nin adını denetleyin.

Kayıt Defteri Dosyası

Alternatif olarak, Not Defteri'nde veya başka bir metin düzenleyicisinde aşağıdaki .reg dosyasını oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.

  • ODBC 17 için aşağıdaki ODBC 17.reg dosyasını oluşturun:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 17 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql17.dll"

PowerShell

Alternatif olarak, değişikliği otomatikleştirmek için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz.

  • 17'den farklı bir ODBC sürücüsü sürümü kullanıyorsanız dll dosya yolunu uygun bir sürümle değiştirip değiştirmemeye bakın.

    New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null

Sonraki adımlar

  • Kullanılan bağlantı noktalarının tam listesi, iletişim yönü ve bağlantı noktalarının yapılandırılabiliyor olması için bkz . Operations Manager için Güvenlik Duvarı Yapılandırma.

  • Bir yönetim grubundaki bileşenler arasındaki verilerin nasıl korunduğunu genel olarak gözden geçirmek için bkz . Operations Manager'da Kimlik Doğrulaması ve Veri Şifrelemesi.