共用方式為

如何在月臺伺服器和遠端月臺系統上啟用 TLS 1.2

  • 發行項

適用於:Configuration Manager (目前的分支)

為 Configuration Manager 環境啟用 TLS 1.2 時,請先 為用戶端啟用 TLS 1.2 。 然後,第二次在月臺伺服器和遠端月臺系統上啟用 TLS 1.2。 最後,測試用戶端與站台系統通訊,然後才可能停用伺服器端上的舊版通訊協定。 在站臺伺服器和遠端站台系統上啟用 TLS 1.2 需要下列工作:

  • 確定 TLS 1.2 已啟用為作業系統層級的 SChannel 通訊協定
  • 更新及設定 .NET Framework 以支援 TLS 1.2
  • 更新 SQL Server 和用戶端元件
  • 更新 Windows Server Update Services (WSUS)

如需特定的 Configuration Manager 功能與案例的相依性詳細資訊,請參閱 關於啟用 TLS 1.2

確定 TLS 1.2 已啟用為作業系統層級的 SChannel 通訊協定

在大部分情況下,通訊協定使用量會控制在三個層級:操作系統層級、架構或平臺層級,以及應用層級。 預設會在操作系統層級啟用 TLS 1.2。 一旦您確定 .NET 登錄值已設定為啟用 TLS 1.2,並確認環境已正確地利用網路上的 TLS 1.2,您可能會想要編輯 SChannel\Protocols 登錄機碼,以停用較舊、較不安全的通訊協定。 如需停用 TLS 1.0 和 1.1 的詳細資訊,請參閱 在 Windows 登錄中設定安全通道通訊協定

更新及設定 .NET Framework 以支援 TLS 1.2

判斷 .NET 版本

首先,判斷已安裝的 .NET 版本。 如需更多資訊,請參閱 如何判斷您安裝的 .NET Framework 版本及其服務套件等級

安裝 .NET 更新

安裝 .NET 更新,以便啟用強式密碼編譯。 某些 .NET Framework 版本可能需要更新才能啟用強式密碼編譯。 使用這些方針:

  • NET Framework 4.6.2 和更新版本支援 TLS 1.1 和 TLS 1.2。 確認登錄設定,但不需要進行其他變更。

    注意事項

    從 2107 版開始,Configuration Manager 需要Microsoft .NET Framework 4.6.2 版,才能用於月臺伺服器、特定月臺系統、用戶端和控制台。 如果可能,請在您的環境中安裝最新版的 .NET 4.8 版。

  • 更新 NET Framework 4.6 和舊版,以支援 TLS 1.1 和 TLS 1.2。 如需詳細資訊,請參閱 .NET Framework 版本和相依性

  • 如果您在 Windows 8.1、Windows Server 2012 R2 或 Windows Server 2012 上使用 .NET Framework 4.5.1 或 4.5.2,強烈建議您安裝 .Net Framework 4.5.1 和 4.5.2 的最新安全性更新,以確保 TLS 1.2 能夠正確啟用。

    針對您的參考,TLS 1.2 最初是透過下列 Hotfix 匯總套件導入 .Net Framework 4.5.1 和 4.5.2:

設定強式密碼編譯

設定 .NET Framework 以支持強式密碼編譯。 將登入 SchUseStrongCrypto 設定設為 DWORD:00000001。 此值會停用 RC4 數據流加密,而且需要重新啟動。 如需此設定的詳細資訊, 請參閱 Microsoft 資訊安全諮詢296038

請務必在任何透過網路與已啟用 TLS 1.2 的系統通訊的電腦上設定下列登錄機碼。 例如,Configuration Manager 用戶端、月臺伺服器上未安裝的遠端月臺系統角色,以及月台伺服器本身。

針對在 32 位 OS 上執行的 32 位應用程式,以及在 64 位 OS 上執行的 64 位應用程式,請更新下列子機碼值:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

對於在 64 位元作業系統上執行的 32 位元應用程式,請更新下列子機碼值:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

注意事項

SchUseStrongCrypto 設定可讓 .NET 使用 TLS 1.1 和 TLS 1.2。 此 SystemDefaultTlsVersions 設定可讓 .NET 使用OS組態。 如需詳細資訊,請參閱 .NET Framework 的 TLS 最佳做法

更新 SQL Server 和用戶端元件

Microsoft SQL Server 2016 和更新版本支援 TLS 1.1 和 TLS 1.2。 舊版和相依連結庫可能需要更新。 如需詳細資訊,請 參閱 KB 3135244:MICROSOFT SQL Server 的 TLS 1.2 支援

次要月臺伺服器必須使用至少 SQL Server 2016 Express service Pack 2 (13.2.50.26) 或更新版本。

SQL Server Native Client

注意事項

KB 3135244 也會說明 SQL Server 用戶端元件的需求。

請務必將 SQL Server Native Client 更新為至少版本 SQL Server 2012 SP4 (11.*.7001.0) 。 此需求是 (警告) 的必要條件檢查

Configuration Manager 會在下列月台系統角色上使用 SQL Server Native Client:

  • 月臺資料庫伺服器
  • 月臺伺服器:管理中心網站、主要月臺或次要月臺
  • 管理點
  • 裝置管理點
  • 狀態移轉點
  • SMS 提供者
  • 軟體更新點
  • 啟用多播的發佈點
  • Asset Intelligence 更新服務點
  • Reporting Services 點
  • 註冊點
  • Endpoint Protection 點
  • 服務連接點
  • 憑證登錄點
  • 數據倉儲服務點

使用 Automanage Machine Configuration 和 Azure Arc 大規模啟用 TLS 1.2

針對在 Azure、內部部署或多雲端環境中執行的機器,自動跨用戶端和伺服器設定 TLS 1.2。 若要開始跨計算機設定 TLS 1.2,請 使用已啟用 Azure Arc 的伺服器將其連線到 Azure,此伺服器預設會隨附於機器設定必要條件。 聯機之後,您可以在 Azure 入口網站中部署內建原則定義,以點按簡易的方式設定 TLS 1.2:在 Windows 伺服器上 (TLS 1.1 或 TLS 1.2) 設定安全通訊協定。 您可以在訂用帳戶、資源群組或管理群組層級指派原則範圍,以及從原則定義中排除任何資源。

指派設定之後,您可以流覽至 [來賓指派] 頁面,然後向下界定受影響的資源,以詳細檢視資源的合規性狀態。

如需詳細的逐步教學課程,請參閱 使用 Azure Arc 和 Automanage 機器設定一致地升級伺服器 TLS 通訊協定

更新 Windows Server Update Services (WSUS)

目前支援的所有 Windows Server 版本 上的 WSUS 預設都支援 TLS 1.2。

若要在舊版 WSUS 中支援 TLS 1.2,請在 WSUS 伺服器上安裝下列更新:

  • 針對執行 Windows Server 2012 的 WSUS 伺服器,請安裝 更新4022721 或更新版本的匯總更新。

  • 針對執行 Windows Server 2012 R2 的 WSUS 伺服器,請安裝 更新4022720 或更新版本的匯總更新。

注意事項

在 2023 年 10 月 10 日,Windows Server 2012 和 Windows Server 2012 R2 進入外延支援更新階段。 Microsoft將不再支援安裝到這些操作系統的 Configuration Manager 月台伺服器或角色。 如需詳細資訊,請參閱 延伸安全性更新和 Configuration Manager

後續步驟