Aktivieren von TLS 1.2

Gilt für: Configuration Manager (Current Branch)

Transport Layer Security (TLS) ist genauso wie Secure Sockets Layer (SSL) ein Verschlüsselungsprotokoll, das dazu bestimmt ist, Daten zu sichern, wenn diese über ein Netzwerk übertragen werden. In diesen Artikeln werden die erforderlichen Schritte beschrieben, um sicherzustellen, dass die sichere Configuration Manager-Kommunikation das TLS 1.2-Protokoll verwendet. In diesen Artikeln werden zudem die Updateanforderungen für häufig verwendete Komponenten sowie die Behandlung häufiger Probleme erläutert.

Aktivierung von TLS 1.2

Die sichere Kommunikation von Configuration Manager basiert auf unterschiedlichen Komponenten. Das Protokoll, das für eine bestimmte Verbindung verwendet wird, hängt von den Funktionen aller relevanten Komponenten auf der Seite des Clients als auch auf der Seite des Servers ab. Wenn eine Komponente veraltet oder nicht ordnungsgemäß ist, wird für die Kommunikation möglicherweise ein älteres, weniger sicheres Protokoll verwenden. Sie müssen TLS 1.2 für alle erforderlichen Komponenten aktivieren, damit Configuration Manager TLS 1.2 für alle sicheren Kommunikationen unterstützt. Die erforderlichen Komponenten hängen von Ihrer Umgebung und den verwendeten Configuration Manager-Features ab.

Wichtig

Starten Sie diesen Prozess mit den Clients, insbesondere bei früheren Versionen von Windows. Bevor Sie TLS 1.2 auf den Configuration Manager-Servern aktivieren und ältere Protokolle deaktivieren, stellen Sie sicher, dass alle Clients TLS 1.2 unterstützen. Andernfalls können die Clients nicht mit den Servern kommunizieren und können verwaisen.

Tasks für Configuration Manager-Clients, Standortserver und Remotestandortsysteme

Sie müssen jeweils auf den Clients und den Standortservern mehrere Tasks ausführen, um TLS 1.2 für Komponenten zu aktivieren, von denen Configuration Manager für die sichere Kommunikation abhängig ist.

Aktivieren von TLS 1.2 für Configuration Manager-Clients

Aktivieren von TLS 1.2 für Configuration Manager-Standortserver und -Remotestandortsysteme

Features und Szenarioabhängigkeiten

In diesem Abschnitt werden die Abhängigkeiten für bestimmte Configuration Manager-Features und -Szenarios erläutert. Suchen Sie nach den Elementen, die auf Ihre Umgebung zutreffen, um die nächsten Schritte zu ermitteln.

Funktion oder Szenario Updateaktion
Standortserver (zentral, primär oder sekundär) - Aktualisieren Sie .NET Framework.
– Überprüfen Sie die Einstellungen für starke Kryptografie.
Standortdatenbankserver Aktualisieren Sie SQL Server und seine Clientkomponenten.
Sekundäre Standortserver Aktualisieren Sie SQL Server und die Clientkomponenten auf eine kompatible Version von SQL Server Express.
Standortsystemrollen - Aktualisieren Sie .NET Framework, und überprüfen Sie die Einstellungen für starke Kryptografie.
- Aktualisieren Sie SQL Server und seine Clientkomponenten für Rollen, die dies erfordern, einschließlich SQL Server Native Client.
Reporting Services-Punkt - Aktualisieren Sie .NET Framework auf dem Standortserver, den SQL Server Reporting Services-Servern und jedem Computer mit der Konsole.
– Starten Sie den Dienst SMS_Executive bei Bedarf neu.
Softwareupdatepunkt Aktualisieren Sie WSUS.
Cloudverwaltungsgateway TLS 1.2 erzwingen
Configuration Manager-Konsole - Aktualisieren Sie .NET Framework.
– Überprüfen Sie die Einstellungen für starke Kryptografie.
Configuration Manager-Client mit HTTPS-Standortsystemrollen Aktualisieren Sie Windows, damit TLS 1.2 für die Client-Server-Kommunikation mit WinHTTP unterstützt wird.
Software Center - Aktualisieren Sie .NET Framework.
– Überprüfen Sie die Einstellungen für starke Kryptografie.
Windows 7-Clients Bevor Sie TLS 1.2 auf Serverkomponenten aktivieren, aktualisieren Sie Windows, damit TLS 1.2 für die Client-Server-Kommunikation mit WinHTTP unterstützt wird. Wenn Sie TLS 1.2 zuerst auf Serverkomponenten aktivieren, können frühere Versionen von Clients verwaisen.

Häufig gestellte Fragen

Gründe für die Verwendung von TLS 1.2 mit Configuration Manager

TLS 1.2 ist sicherer als die vorherigen Kryptografieprotokolle wie SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1. Im Wesentlichen sorgt TLS 1.2 dafür, dass Daten sicherer über das Netzwerk übertragen werden.

Wo verwendet Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2?

Es gibt im Grunde genommen fünf Bereiche, für die Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2 verwendet:

  • Bei Clientkommunikationen zu IIS-basierten Standortserverrollen, wenn die Rolle für die Verwendung von HTTPS konfiguriert ist. Diese Rollen sind u. a. Verteilungspunkte, Softwareupdatepunkte und Verteilungspunkte.
  • Verwaltungspunkt-, SMS-Executive- und SMS-Anbieterkommunikationen mit SQL. Die SQL Server-Kommunikation wird von Configuration Manager immer verschlüsselt.
  • Kommunikation zwischen Standortserver und WSUS, wenn WSUS für die Verwendung von HTTPS konfiguriert ist
  • Configuration Manager-Konsole zu SQL Server Reporting Services (SSRS), wenn SSRS für die Verwendung von HTTPS konfiguriert ist
  • Alle Verbindungen zu internetbasierten Diensten. Beispiele hierfür sind das Cloudverwaltungsgateway (Cloud Management Gateway, CMG), die Synchronisierung des Dienstverbindungspunkts und die Synchronisierung der Updatemetadaten von Microsoft Update.

Wodurch wird bestimmt, welches Verschlüsselungsprotokoll verwendet wird?

HTTPS wird immer die höchste Protokollversion aushandeln, die vom Client und dem Server in einer verschlüsselten Konversation unterstützt wird. Beim Herstellen einer Verbindung sendet der Client eine Nachricht an den Server mit dem höchsten verfügbaren Protokoll. Wenn der Server die gleiche Version unterstützt, sendet dieser eine Nachricht mit dieser Version. Diese ausgehandelte Version ist die, die für die Verbindung verwendet wird. Wenn der Server die vom Client vorgelegte Version nicht unterstützt, gibt die Servermeldung die höchste Version an, die der Server verwenden kann. Weitere Informationen zum TLS-Handshake-Protokoll finden Sie unter Einrichten einer sicheren Sitzung mithilfe von TLS.

Was bestimmt die Protokollversion, die vom Client und vom Server verwendet werden kann?

Im Allgemeinen können die folgenden Elemente bestimmen, welche Protokollversion verwendet wird:

  • Die Anwendung kann vorschreiben, welche bestimmte Protokollversion aushandelt werden soll.
    • Gemäß den Best Practices sollte verhindert werden, dass bestimmte Protokolle auf Anwendungsebene hartcodiert werden und dass die auf der Protokollebene der Komponente und des Betriebssystems definierte Konfiguration befolgt wird.
    • Configuration Manager befolgt diese Best Practices.
  • Für Anwendungen, die mit .NET Framework geschrieben werden, sind die Standardprotokollversionen von der Version des Frameworks abhängig, auf dem sie kompiliert wurden.
    • in den .NET-Versionen vor 4.6.3 waren TLS 1.1 und 1.2 standardmäßig nicht in der Liste der Protokolle für die Aushandlung enthalten.
  • Anwendungen, die WinHTTP für die HTTPS-Kommunikation (wie der Konfigurations-Manager-Client) verwenden, sind von der Betriebssystemversion, der Patchebene und der Konfiguration für die Protokollversionsunterstützung abhängig.

Zusätzliche Ressourcen

Nächste Schritte