Aracılığıyla paylaş

Aktarım Katmanı Güvenliği 1.2'yi uygulama

  • Makale

Önemli

Operations Manager'ın bu sürümü desteğin sonuna ulaştı. Operations Manager 2022'ye yükseltmenizi öneririz.

Bu makalede, System Center Operations Manager yönetim grubu için Aktarım Katmanı Güvenliği (TLS) protokolü sürüm 1.2'nin nasıl etkinleştirileceği açıklanır.

Not

Operations Manager, İşletim Sistemi Düzeyinde yapılandırılan protokolü kullanır. Örneğin, İŞLETIM Sistemi Düzeyinde TLS 1.0, TLS 1.1 ve TLS 1.2 etkinleştirilirse Operations Manager aşağıdaki tercih sırasına göre üç protokolden birini seçer:

  1. TLS sürüm 1.2
  2. TLS sürüm 1.1
  3. TLS sürüm 1.0

Schannel SSP daha sonra istemci ve sunucunun destekleyebilecekleri en çok tercih edilen kimlik doğrulama protokollerini seçer.

TLS protokolü sürüm 1.2'yi etkinleştirmek için aşağıdaki adımları gerçekleştirin:

Not

SQL Server için Microsoft OLE DB Sürücüsü 18 (önerilir), Operations Manager 2016 UR9 ve üzeri sürümlerde desteklenir.

  1. Tüm yönetim sunucularına ve Web konsolu sunucusuna SQL Server için SQL Server 2012 Native Client 11.0 veya Microsoft OLE DB Driver 18 yükleyin.
  2. .NET Framework 4.6'yı tüm yönetim sunucularına, ağ geçidi sunucularına, Web konsolu sunucusuna ve Operations Manager veritabanlarını ve Raporlama sunucusu rolünü barındıran SQL Server'a yükleyin.
  3. TLS 1.2'yi destekleyen Gerekli SQL Server güncelleştirmesini yükleyin.
  4. Tüm yönetim sunucularına ODBC 11.0 veya ODBC 13.0 yükleyin.
  5. System Center 2016 - Operations Manager için Güncelleştirme Paketi 4 veya üzerini yükleyin.
  6. Windows'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.
  7. Operations Manager'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.
  1. Tüm yönetim sunucularına ve Web konsolu sunucusuna Microsoft OLE DB Sürücüsü sürüm 18.2 ile 18.7.2 arasında bir sürüm yükleyin.
  2. .NET Framework 4.6'yı tüm yönetim sunucularına, ağ geçidi sunucularına, Web konsolu sunucusuna ve Operations Manager veritabanlarını ve Raporlama sunucusu rolünü barındıran SQL Server'a yükleyin.
  3. TLS 1.2'yi destekleyen Gerekli SQL Server güncelleştirmesini yükleyin.
  4. Tüm yönetim sunucularına ODBC Sürücüsü sürüm 17.3 ile 17.10.6'ya yükleyin.
  5. Windows'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.
  6. Operations Manager'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırın.

Operations Manager, SHA1 ve SHA2 otomatik olarak imzalanan sertifikalar oluşturur. TLS 1.2'yi etkinleştirmek için bu gereklidir. CA imzalı sertifikalar kullanılıyorsa, sertifikaların SHA1 veya SHA2 olduğundan emin olun.

Not

Güvenlik ilkeleriniz TLS 1.0 ve 1.1'i kısıtlarsa, kurulum medyası TLS 1.2'yi destekleyecek güncelleştirmeleri içermediğinden yeni bir Operations Manager 2016 yönetim sunucusu, ağ geçidi sunucusu, Web konsolu ve Raporlama hizmetleri rolü yüklenemez. Bu rolleri yüklemenin tek yolu sistemde TLS 1.0'ı etkinleştirmek, Güncelleştirme Paketi 4'ü uygulamak ve ardından sistemde TLS 1.2'yi etkinleştirmektir. Bu sınırlama Operations Manager sürüm 1801 için geçerli değildir.

Windows İşletim Sistemi'ni yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırma

Windows'un yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırılması için aşağıdaki yöntemlerden birini kullanın.

1. Yöntem: Kayıt defterini el ile değiştirme

Önemli

Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, bir sorun olması halinde geri yükleyebilmek için kayıt defterini yedekleyin.

Sistem genelinde tüm SCHANNEL protokollerini etkinleştirmek/devre dışı bırakmak için aşağıdaki adımları kullanın. Tüm gelen iletişimler ve giden iletişimler için TLS 1.2 protokolünü etkinleştirmenizi öneririz.

Not

Bu kayıt defteri değişikliklerinin yapılması Kerberos veya NTLM protokollerinin kullanımını etkilemez.

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.

  2. Başlat'ı seçip basılı tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

  3. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 ve TLS 1.2 protokollerialtında bir alt anahtar oluşturun.

  5. Daha önce oluşturduğunuz her protokol sürümü alt anahtarı altında bir İstemci ve Sunucu alt anahtarı oluşturun. Örneğin, TLS 1.0 alt anahtarı ve HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\ServerolacaktırHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client.

  6. Her protokolü devre dışı bırakmak için Sunucu ve İstemci altında aşağıdaki DWORD değerlerini oluşturun:

    • Etkin [Değer = 0]
    • DisabledByDefault [Değer = 1]

  7. TLS 1.2 protokolunu etkinleştirmek için ve HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Serveraltında HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client aşağıdaki DWORD değerlerini oluşturun:

    • Etkin [Değer = 1]
    • DisabledByDefault [Değer = 0]

  8. Kayıt Defteri Düzenleyicisi'ni kapatın.

2. Yöntem: Kayıt defterini otomatik olarak değiştirme

Windows İşletim Sisteminizi yalnızca TLS 1.2 Protokolü kullanacak şekilde otomatik olarak yapılandırmak için aşağıdaki Windows PowerShell betiğini Yönetici olarak çalıştırın:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Operations Manager'ı yalnızca TLS 1.2 kullanacak şekilde yapılandırma

Operations Manager için tüm önkoşulların yapılandırmasını tamamladıktan sonra, aşağıdaki adımları tüm yönetim sunucularında, Web konsolu rolünü barındıran sunucuda ve aracının yüklü olduğu herhangi bir Windows bilgisayarda gerçekleştirin.

Önemli

Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Herhangi bir değişiklik yapmadan önce, sorun oluşması durumunda geri yükleme için kayıt defterini yedekleyin.

Not

Windows OS 2012'de çalışan SCOM 2012 R2, UNIX/LINUX izlemesi için HTTP üzerinden TLS 1.2'yi kullanmak için ek değişikliklere ihtiyaç duyar. TlS 1.2'yi Windows'da WinHTTP'da varsayılan güvenlik protokolleri olarak etkinleştirmek için, Windows'da WinHTTP'da varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için Güncelleştirme'ye göre aşağıdaki değişikliklerin yapılması gerekir.

  1. UNIX/LINUX Kaynak Havuzu'ndaki Yönetim Sunucuları/Ağ Geçitleri Sunucuları'na KB3140245 yükleyin.
  2. KB makalesinde belirtildiği gibi değiştirilen kayıt defterlerini yedekleyin.
  3. Unix/LINUX Kaynak Havuzu'ndaki Yönetim Sunucuları/Ağ Geçitleri'nde Kolay Düzeltme aracını indirin ve çalıştırın.
  4. Sunucuları yeniden başlatın.

Kayıt defterini el ile değiştirme

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.
  2. Başlat'ı seçip tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve tamam'ı seçin.
  3. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Bu alt anahtar altında 1 değeriyle SchUseStrongCrypto DWORD değerini oluşturun.
  5. Aşağıdaki kayıt defteri alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Bu alt anahtar altında 1 değeriyle SchUseStrongCrypto DWORD değerini oluşturun.
  7. Ayarların etkili olması için sistemi yeniden başlatın.

Kayıt defterini otomatik olarak değiştirme

Operations Manager'ı yalnızca TLS 1.2 Protokolünü kullanacak şekilde otomatik olarak yapılandırmak için yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Ek ayarlar

Bu, System Center 2016 - Operations Manager için uygulanıyorsa, Güncelleştirme Paketi 4 uygulandıktan sonra, şu dizinde bulunan bu toplamaya dahil olan yönetim paketlerini içeri aktarın: \Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.

Linux sunucusunun desteklenen bir sürümünü Operations Manager ile izliyorsanız, TLS 1.2'yi yapılandırmak üzere dağıtımınız için uygun web sitesindeki yönergeleri izleyin.

Denetim Toplama Hizmetleri

Denetim Toplama Hizmetleri (ACS) için, ACS Toplayıcı sunucusundaki kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. DSN ayarlarını TLS 1.2 için işlevsel hale getirmek için güncelleştirmeniz gerekir.

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.

  2. Başlat'ı seçip basılı tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

  3. OpsMgrAC için aşağıdaki ODBC alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Not

    Varsayılan DSN adı OpsMgrAC'dir.

  4. ODBC Veri Kaynakları alt anahtarı altında, OpsMgrAC DSN adını seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 11.0 yüklüyse, bu adı SQL Server için ODBC Sürücüsü 11 olarak değiştirin veya ODBC 13.0 yüklüyse, bu adı SQL Server için ODBC Sürücüsü 13 olarak değiştirin.

  5. OpsMgrAC alt anahtarı altında, yüklü ODBC sürümünün Sürücüsünü güncelleştirin.

    • ODBC 11.0 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql11.dlldeğiştirin.
    • ODBC 13.0 yüklüyse Sürücü girişini olarak %WINDIR%\system32\msodbcsql13.dlldeğiştirin.

    Kayıt Defteri Dosyası

    Alternatif olarak, Not Defteri'nde veya başka bir metin düzenleyicisinde aşağıdaki .reg dosyasını oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.

    • ODBC 11.0 için aşağıdaki ODBC 11.reg dosyasını oluşturun:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 11 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql11.dll"

    • ODBC 13.0 için aşağıdaki ODBC 13.reg dosyasını oluşturun:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 13 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql13.dll"

    PowerShell

    Alternatif olarak, değişikliği otomatikleştirmek için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz.

    • ODBC 11.0 için aşağıdaki PowerShell komutlarını çalıştırın:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null

    • ODBC 13.0 için aşağıdaki PowerShell komutlarını çalıştırın:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null

Denetim Toplama Hizmetleri

Denetim Toplama Hizmetleri (ACS) için, ACS Toplayıcı sunucusundaki kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. DSN ayarlarını TLS 1.2 için işlevsel hale getirmek için güncelleştirmeniz gerekir.

  1. Yerel yönetici kimlik bilgilerine sahip bir hesap ile sunucuda oturum açın.

  2. Başlat'ı seçip basılı tutarak Kayıt Defteri Düzenleyicisi'ni başlatın, Çalıştır metin kutusuna regedit yazın ve Tamam'ı seçin.

  3. OpsMgrAC için aşağıdaki ODBC alt anahtarını bulun: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Not

    Varsayılan DSN adı OpsMgrAC'dir.

  4. ODBC Veri Kaynakları alt anahtarı altında, OpsMgrAC DSN adını seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 17 yüklüyse, bu adı SQL Server için ODBC Sürücüsü 17 olarak değiştirin.

  5. OpsMgrAC alt anahtarı altında, yüklü ODBC sürümünün Sürücüsünü güncelleştirin.

    • ODBC 17 yüklüyse Sürücü girdisini olarak %WINDIR%\system32\msodbcsql17.dlldeğiştirin.

    Kayıt Defteri Dosyası

    Alternatif olarak, Not Defteri'nde veya başka bir metin düzenleyicisinde aşağıdaki .reg dosyasını oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.

    • ODBC 17 için aşağıdaki ODBC 17.reg dosyasını oluşturun:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 17 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql17.dll"

    PowerShell

    Alternatif olarak, değişikliği otomatikleştirmek için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz.

    • ODBC 17 için aşağıdaki PowerShell komutlarını çalıştırın:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null

Sonraki adımlar

  • Kullanılan bağlantı noktalarının tam listesi, iletişim yönü ve bağlantı noktalarının yapılandırılabiliyor olması için bkz . Operations Manager için Güvenlik Duvarı Yapılandırma.

  • Bir yönetim grubundaki bileşenler arasındaki verilerin nasıl korunduğunu genel olarak gözden geçirmek için bkz . Operations Manager'da Kimlik Doğrulaması ve Veri Şifrelemesi.