Jak povolit TLS 1.2 na serverech webu a vzdálených systémech webu

Platí pro: Správce konfigurace (Aktuální větev)

Když povolíte tls 1.2 pro Správce konfigurace prostředí, začněte s povolením TLS 1.2 pro klienty jako první. Potom povolte TLS 1.2 na serverech webu a vzdálených systémech webu na druhém místě. Nakonec otestujte komunikaci mezi klientem a systémem webu, než potenciálně zakážete starší protokoly na straně serveru. Pro povolení protokolu TLS 1.2 na serverech webu a vzdálených systémech webu jsou potřeba následující úkoly:

  • Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
  • Aktualizace a konfigurace .NET Framework tls 1.2
  • Aktualizace SQL Server a klientských součástí
  • Aktualizace Windows Server Update Services (WSUS)

Další informace o závislostech pro konkrétní Správce konfigurace a scénářích najdete v tématu Povolení tls 1.2.

Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.

Tls 1.2 je ve výchozím nastavení povolený. Proto není potřeba tyto klíče měnit, abyste je povolte. Pokud chcete zakázat Protocols tls 1.0 a TLS 1. 1.1, můžete provést změny po provedení zbývajících pokynů v těchto článcích a ověřili jste, že prostředí funguje, když je povolené jenom TLS 1.2.

Ověřte nastavení HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols podklíče registru, jak je znázorněno v doporučených postupech zabezpečení tls (Transport layer security) s .NET Framework.

Aktualizace a konfigurace .NET Framework tls 1.2

Určení verze .NET

Nejdřív určete nainstalované verze .NET. Další informace najdete v článku Určení,které verze a úrovně aktualizací Service Pack .NET Framework nainstalované .

Instalace aktualizací .NET

Nainstalujte si aktualizace .NET, abyste mohli povolit silnou kryptografii. Některé verze .NET Framework můžou vyžadovat aktualizace, aby bylo možné povolit silnou kryptografii. Postupujte podle těchto pokynů:

  • NET Framework 4.6.2 a novější podporuje protokoly TLS 1.1 a TLS 1.2. Potvrďte nastavení registru, ale nejsou potřeba žádné další změny.

    Poznámka

    Od verze 2107 vyžaduje Správce konfigurace Microsoft .NET Framework verze 4.6.2 pro servery webu, konkrétní systémy webu, klienty a konzolu. Pokud je to možné ve vašem prostředí, nainstalujte si nejnovější verzi .NET verze 4.8.

  • Aktualizace NET Frameworku 4.6 a starších verzí pro podporu TLS 1.1 a TLS 1.2 Další informace najdete v tématu .NET Framework verzí a závislostí.

  • Pokud používáte .NET Framework 4.5.1 nebo 4.5.2 v Windows 8.1, Windows Server 2012 R2 nebo Windows Server 2012, důrazně doporučujeme nainstalovat nejnovější aktualizace zabezpečení pro rozhraní .Net Framework 4.5.1 a 4.5.2, aby bylo možné protokol TLS 1.2 správně povolit.

    Pro referenci byl TLS 1.2 poprvé zaveden do rozhraní .Net Framework 4.5.1 a 4.5.2 s následujícími kumulativními opravami hotfix:

Konfigurace silné kryptografie

Nakonfigurujte .NET Framework pro podporu silné kryptografie. Nastavení registru SchUseStrongCrypto nastavte na DWORD:00000001 . Tato hodnota zakáže šifru datového proudu RC4 a vyžaduje restartování. Další informace o tomto nastavení najdete v tématu Microsoft Security Advisory 296038.

Nezapomeňte nastavit následující klíče registru na libovolném počítači, který komunikuje v síti se systémem s povoleným protokolem TLS 1.2. Například Správce konfigurace, role vzdáleného systému lokality nenainstalované na serveru webu a samotný server webu.

U 32bitových aplikací, které běží na 32bitových osách, a pro 64bitové aplikace, které běží na 64bitových osách, aktualizujte následující hodnoty podklíčů:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

U 32bitových aplikací, které běží na 64bitových osách, aktualizujte následující hodnoty podklíčů:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Poznámka

Toto SchUseStrongCrypto nastavení umožňuje .NET používat TLS 1.1 a TLS 1.2. Toto SystemDefaultTlsVersions nastavení umožňuje .NET používat konfiguraci operačního systému. Další informace najdete v článku Doporučené postupy tls s .NET Framework.

Aktualizace SQL Server a klientských součástí

Microsoft SQL Server 2016 a novější podporují TLS 1.1 a TLS 1.2. Starší verze a závislé knihovny můžou vyžadovat aktualizace. Další informace najdete v článku Kb 3135244: Podpora TLS 1.2 pro Microsoft SQL Server.

Servery sekundárního webu musí používat aspoň SQL Server 2016 Express s Service Pack 2 (13.2.50.26) nebo novější.

SQL Server Native Client

Poznámka

Kb 3135244 také popisuje požadavky na SQL Server součásti klienta.

Nezapomeňte také aktualizovat SQL Server Native Client na aspoň verzi SQL Server 2012 SP4 (11.*.7001.0). Tento požadavek je předpokladem kontroly (upozornění).

Správce konfigurace používá SQL Server Native Client na následujících rolích systému webu:

  • Server databáze webu
  • Server webu: web centrální správy, primární web nebo sekundární web
  • Bod správy
  • Bod správy zařízení
  • Bod migrace státu
  • Zprostředkovatel SMS
  • Bod aktualizace softwaru
  • Distribuční bod s podporou vysílání Multicast
  • Bod služby aktualizace Asset Intelligence
  • Bod služby Reporting Services
  • Bod registrace
  • Endpoint Protection bod
  • Spojovací bod služby
  • Bod registrace certifikátu
  • Servisní bod datového skladu

Aktualizace Windows Server Update Services (WSUS)

Pokud chcete v dřívějších verzích služby WSUS podporovat tls 1.2, nainstalujte na server SLUŽBY WSUS následující aktualizaci:

  • Pro server SLUŽBY WSUS, na Windows Server 2012, nainstalujte aktualizaci 4022721 nebo novější kumulativní aktualizaci.

  • Pro server SLUŽBY WSUS, na Windows Server 2012 R2, nainstalujte aktualizaci 4022720 nebo novější kumulativní aktualizaci.

Od Windows Server 2016 je protokol TLS 1.2 ve výchozím nastavení pro službu WSUS podporovaný. Aktualizace TLS 1.2 jsou potřeba jenom na Windows Server 2012 a Windows Server 2012 serverech WSUS R2.

Další kroky