如何在月臺伺服器和遠端月臺系統上啟用 TLS 1.2
適用於:Configuration Manager (目前的分支)
為 Configuration Manager 環境啟用 TLS 1.2 時,請先 為用戶端啟用 TLS 1.2 。 然後,第二次在月臺伺服器和遠端月臺系統上啟用 TLS 1.2。 最後,測試用戶端與站台系統通訊,然後才可能停用伺服器端上的舊版通訊協定。 在站臺伺服器和遠端站台系統上啟用 TLS 1.2 需要下列工作:
- 確定 TLS 1.2 已啟用為作業系統層級的 SChannel 通訊協定
- 更新及設定 .NET Framework 以支援 TLS 1.2
- 更新 SQL Server 和用戶端元件
- 更新 Windows Server Update Services (WSUS)
如需特定的 Configuration Manager 功能與案例的相依性詳細資訊,請參閱 關於啟用 TLS 1.2。
確定 TLS 1.2 已啟用為作業系統層級的 SChannel 通訊協定
在大部分情況下,通訊協定使用量會控制在三個層級:操作系統層級、架構或平臺層級,以及應用層級。 預設會在操作系統層級啟用 TLS 1.2。 一旦您確定 .NET 登錄值已設定為啟用 TLS 1.2,並確認環境已正確地利用網路上的 TLS 1.2,您可能會想要編輯 SChannel\Protocols 登錄機碼,以停用較舊、較不安全的通訊協定。 如需停用 TLS 1.0 和 1.1 的詳細資訊,請參閱 在 Windows 登錄中設定安全通道通訊協定。
更新及設定 .NET Framework 以支援 TLS 1.2
判斷 .NET 版本
首先,判斷已安裝的 .NET 版本。 如需更多資訊,請參閱 如何判斷您安裝的 .NET Framework 版本及其服務套件等級。
安裝 .NET 更新
安裝 .NET 更新,以便啟用強式密碼編譯。 某些 .NET Framework 版本可能需要更新才能啟用強式密碼編譯。 使用這些方針:
NET Framework 4.6.2 和更新版本支援 TLS 1.1 和 TLS 1.2。 確認登錄設定,但不需要進行其他變更。
注意事項
從 2107 版開始,Configuration Manager 需要Microsoft .NET Framework 4.6.2 版,才能用於月臺伺服器、特定月臺系統、用戶端和控制台。 如果可能,請在您的環境中安裝最新版的 .NET 4.8 版。
更新 NET Framework 4.6 和舊版,以支援 TLS 1.1 和 TLS 1.2。 如需詳細資訊,請參閱 .NET Framework 版本和相依性。
如果您在 Windows 8.1、Windows Server 2012 R2 或 Windows Server 2012 上使用 .NET Framework 4.5.1 或 4.5.2,強烈建議您安裝 .Net Framework 4.5.1 和 4.5.2 的最新安全性更新,以確保 TLS 1.2 能夠正確啟用。
針對您的參考,TLS 1.2 最初是透過下列 Hotfix 匯總套件導入 .Net Framework 4.5.1 和 4.5.2:
- 針對 Windows 8.1 和 Server 2012 R2: Hotfix 匯總3099842
- 針對 Windows Server 2012: Hotfix 匯總3099844
設定強式密碼編譯
設定 .NET Framework 以支持強式密碼編譯。 將登入 SchUseStrongCrypto 設定設為 DWORD:00000001。 此值會停用 RC4 數據流加密,而且需要重新啟動。 如需此設定的詳細資訊, 請參閱 Microsoft 資訊安全諮詢296038。
請務必在任何透過網路與已啟用 TLS 1.2 的系統通訊的電腦上設定下列登錄機碼。 例如,Configuration Manager 用戶端、月臺伺服器上未安裝的遠端月臺系統角色,以及月台伺服器本身。
針對在 32 位 OS 上執行的 32 位應用程式,以及在 64 位 OS 上執行的 64 位應用程式,請更新下列子機碼值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
對於在 64 位元作業系統上執行的 32 位元應用程式,請更新下列子機碼值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
注意事項
此 SchUseStrongCrypto 設定可讓 .NET 使用 TLS 1.1 和 TLS 1.2。 此 SystemDefaultTlsVersions 設定可讓 .NET 使用OS組態。 如需詳細資訊,請參閱 .NET Framework 的 TLS 最佳做法。
更新 SQL Server 和用戶端元件
Microsoft SQL Server 2016 和更新版本支援 TLS 1.1 和 TLS 1.2。 舊版和相依連結庫可能需要更新。 如需詳細資訊,請 參閱 KB 3135244:MICROSOFT SQL Server 的 TLS 1.2 支援。
次要月臺伺服器必須使用至少 SQL Server 2016 Express service Pack 2 (13.2.50.26) 或更新版本。
SQL Server Native Client
注意事項
KB 3135244 也會說明 SQL Server 用戶端元件的需求。
請務必將 SQL Server Native Client 更新為至少版本 SQL Server 2012 SP4 (11.*.7001.0) 。 此需求是 (警告) 的必要條件檢查 。
Configuration Manager 會在下列月台系統角色上使用 SQL Server Native Client:
- 月臺資料庫伺服器
- 月臺伺服器:管理中心網站、主要月臺或次要月臺
- 管理點
- 裝置管理點
- 狀態移轉點
- SMS 提供者
- 軟體更新點
- 啟用多播的發佈點
- Asset Intelligence 更新服務點
- Reporting Services 點
- 註冊點
- Endpoint Protection 點
- 服務連接點
- 憑證登錄點
- 數據倉儲服務點
使用 Automanage Machine Configuration 和 Azure Arc 大規模啟用 TLS 1.2
針對在 Azure、內部部署或多雲端環境中執行的機器,自動跨用戶端和伺服器設定 TLS 1.2。 若要開始跨計算機設定 TLS 1.2,請 使用已啟用 Azure Arc 的伺服器將其連線到 Azure,此伺服器預設會隨附於機器設定必要條件。 聯機之後,您可以在 Azure 入口網站中部署內建原則定義,以點按簡易的方式設定 TLS 1.2:在 Windows 伺服器上 (TLS 1.1 或 TLS 1.2) 設定安全通訊協定。 您可以在訂用帳戶、資源群組或管理群組層級指派原則範圍,以及從原則定義中排除任何資源。
指派設定之後,您可以流覽至 [來賓指派] 頁面,然後向下界定受影響的資源,以詳細檢視資源的合規性狀態。
如需詳細的逐步教學課程,請參閱 使用 Azure Arc 和 Automanage 機器設定一致地升級伺服器 TLS 通訊協定。
更新 Windows Server Update Services (WSUS)
目前支援的所有 Windows Server 版本 上的 WSUS 預設都支援 TLS 1.2。
若要在舊版 WSUS 中支援 TLS 1.2,請在 WSUS 伺服器上安裝下列更新:
針對執行 Windows Server 2012 的 WSUS 伺服器,請安裝 更新4022721 或更新版本的匯總更新。
針對執行 Windows Server 2012 R2 的 WSUS 伺服器,請安裝 更新4022720 或更新版本的匯總更新。
注意事項
在 2023 年 10 月 10 日,Windows Server 2012 和 Windows Server 2012 R2 進入外延支援更新階段。 Microsoft將不再支援安裝到這些操作系統的 Configuration Manager 月台伺服器或角色。 如需詳細資訊,請參閱 延伸安全性更新和 Configuration Manager。