如何在月臺伺服器和遠端月臺系統上啟用 TLS 1.2

  • 發行項

適用於:Configuration Manager (目前的分支)

為您的Configuration Manager環境啟用 TLS 1.2 時,請先為用戶端啟用 TLS 1.2。 然後,第二次在月臺伺服器和遠端月臺系統上啟用 TLS 1.2。 最後,測試用戶端與月臺系統通訊,然後才可能停用伺服器端上的舊版通訊協定。 在月臺伺服器和遠端月臺系統上啟用 TLS 1.2 需要下列工作:

  • 確定 TLS 1.2 已啟用為作業系統層級的 SChannel 通訊協定
  • 更新及設定 .NET Framework 以支援 TLS 1.2
  • 更新SQL Server和用戶端元件
  • 更新 Windows Server Update Services (WSUS)

如需特定的 Configuration Manager 功能與案例的相依性詳細資訊,請參閱 關於啟用 TLS 1.2

確定 TLS 1.2 已啟用為作業系統層級的 SChannel 通訊協定

在大部分情況下,通訊協定使用量會控制在三個層級:作業系統層級、架構或平台層級,以及應用層級。 預設會在作業系統層級啟用 TLS 1.2。 一旦您確定 .NET 登錄值已設定為啟用 TLS 1.2,並確認環境已正確地利用網路上的 TLS 1.2,您可能會想要編輯 SChannel\Protocols 登錄機碼,以停用較舊、較不安全的通訊協定。 如需停用 TLS 1.0 和 1.1 的詳細資訊,請參閱 在 Windows 登錄中設定安全通道通訊協定

更新及設定 .NET Framework 以支援 TLS 1.2

判斷 .NET 版本

首先,判斷已安裝的 .NET 版本。 如需更多資訊,請參閱 如何判斷您安裝的 .NET Framework 版本及其服務套件等級

安裝 .NET 更新

安裝 .NET 更新,以便啟用強式密碼編譯。 某些版本的.NET Framework可能需要更新才能啟用強式密碼編譯。 使用這些方針:

  • NET Framework 4.6.2 和更新版本支援 TLS 1.1 和 TLS 1.2。 確認登錄設定,但不需要進行其他變更。

    注意事項

    從 2107 版開始,Configuration Manager需要月臺伺服器、特定月臺系統、用戶端和主控台的 Microsoft .NET Framework 4.6.2 版。 如果可能,請在您的環境中安裝最新版的 .NET 4.8 版。

  • 更新 NET Framework 4.6 和舊版,以支援 TLS 1.1 和 TLS 1.2。 如需詳細資訊,請參閱 .NET Framework 版本和相依性

  • 如果您在 Windows 8.1、Windows Server 2012 R2 或 Windows Server 2012 上使用 .NET Framework 4.5.1 或 4.5.2,強烈建議您安裝 .Net Framework 4.5.1 和 4.5.2 的最新安全性更新,以確保 TLS 1.2 能夠正確啟用。

    針對您的參考,TLS 1.2 最初是透過下列 Hotfix 匯總套件導入 .Net Framework 4.5.1 和 4.5.2:

設定強式密碼編譯

設定.NET Framework以支援強式密碼編譯。 將登錄 SchUseStrongCrypto 設定設為 DWORD:00000001 。 此值會停用 RC4 資料流程加密,而且需要重新開機。 如需此設定的詳細資訊,請參閱 Microsoft 資訊安全諮詢296038

請務必在與已啟用 TLS 1.2 的系統進行網路通訊的任何電腦上設定下列登錄機碼。 例如,Configuration Manager用戶端、未安裝在月臺伺服器上的遠端月臺系統角色,以及月臺伺服器本身。

對於在 32 位 OS 上執行的 32 位應用程式,以及在 64 位 OS 上執行的 64 位應用程式,請更新下列子機碼值:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

對於在 64 位元作業系統上執行的 32 位元應用程式,請更新下列子機碼值:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

注意事項

SchUseStrongCrypto 設定可讓 .NET 使用 TLS 1.1 和 TLS 1.2。 此 SystemDefaultTlsVersions 設定可讓 .NET 使用 OS 組態。 如需詳細資訊,請參閱TLS 最佳做法與.NET Framework

更新SQL Server和用戶端元件

Microsoft SQL Server 2016 和更新版本支援 TLS 1.1 和 TLS 1.2。 舊版和相依程式庫可能需要更新。 如需詳細資訊,請參閱 KB 3135244:適用于 Microsoft SQL Server 的 TLS 1.2 支援

次要月臺伺服器必須使用至少 SQL Server 2016 Express service Pack 2 (13.2.50.26) 或更新版本。

SQL Server Native Client

注意事項

KB 3135244也會說明SQL Server用戶端元件的需求。

請務必將SQL Server Native Client更新為至少版本 SQL Server 2012 SP4 (11.*.7001.0) 。 此需求是必要 條件檢查 (警告)

Configuration Manager在下列月臺系統角色上使用SQL Server Native Client:

  • 月臺資料庫伺服器
  • 月臺伺服器:管理中心網站、主要月臺或次要月臺
  • 管理點
  • 裝置管理點
  • 狀態移轉點
  • SMS 提供者
  • 軟體更新點
  • 啟用多播的發佈點
  • Asset Intelligence 更新服務點
  • Reporting Services 點
  • 註冊點
  • Endpoint Protection 點
  • 服務連接點
  • 憑證登錄點
  • 資料倉儲服務點

使用 Automanage Machine Configuration 和 Azure Arc 大規模啟用 TLS 1.2

針對在 Azure、內部部署或多雲端環境中執行的機器,自動跨用戶端和伺服器設定 TLS 1.2。 若要開始跨電腦設定 TLS 1.2,請 使用已啟用 Azure Arc 的伺服器將其連線到 Azure,此伺服器預設會隨附于機器設定必要條件。 連線之後,您可以在 Azure 入口網站中部署內建原則定義,以點按簡易的方式設定 TLS 1.2:在 Windows 伺服器上 (TLS 1.1 或 TLS 1.2) 設定安全通訊協定。 您可以在訂用帳戶、資源群組或管理群組層級指派原則範圍,以及從原則定義中排除任何資源。

指派設定之後,您可以流覽至 [來賓指派] 頁面,然後向下界定受影響的資源,以詳細檢視資源的合規性狀態。

如需詳細的逐步教學課程,請參閱 使用 Azure Arc 和 Automanage 機器設定一致地升級伺服器 TLS 通訊協定

更新 Windows Server Update Services (WSUS)

若要在舊版 WSUS 中支援 TLS 1.2,請在 WSUS 伺服器上安裝下列更新:

  • 針對執行 Windows Server 2012 的 WSUS 伺服器,請安裝更新4022721或更新版本的匯總更新。

  • 針對執行 Windows Server 2012 R2 的 WSUS 伺服器,請安裝更新4022720或更新更新。

從 Windows Server 2016 開始,WSUS 預設支援 TLS 1.2。 只有在 Windows Server 2012 和 Windows Server 2012 R2 WSUS 伺服器上才需要 TLS 1.2 更新。

後續步驟