So aktivieren Sie TLS 1.2 auf Clients

Gilt für: Configuration Manager (Current Branch)

Wenn Sie TLS 1.2 für Ihre Configuration Manager-Umgebung aktivieren, stellen Sie zunächst sicher, dass die Clients für die Verwendung von TLS 1.2 geeignet und ordnungsgemäß konfiguriert sind, bevor SIE TLS 1.2 aktivieren und die älteren Protokolle auf den Standortservern und Remotestandortsystemen deaktivieren. Es gibt drei Aufgaben zum Aktivieren von TLS 1.2 auf Clients:

  • Aktualisieren von Windows und WinHTTP
  • Stellen Sie sicher, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist.
  • Aktualisieren und Konfigurieren der .NET Framework zur Unterstützung von TLS 1.2

Weitere Informationen zu Abhängigkeiten für bestimmte Configuration Manager-Features und -Szenarien finden Sie unter "Aktivieren von TLS 1.2".

Aktualisieren von Windows und WinHTTP

Windows 8.1-, Windows Server 2012 R2-, Windows 10-, Windows Server 2016- und neuere Versionen von Windows unterstützen TLS 1.2 für die Client-Server-Kommunikation über WinHTTP.

Frühere Versionen von Windows, z. B. Windows 7 oder Windows Server 2012, aktivieren TLS 1.1 oder TLS 1.2 nicht standardmäßig für die sichere Kommunikation mit WinHTTP. Installieren Sie für diese früheren Versionen von Windows Update 3140245, um den unten stehenden Registrierungswert zu aktivieren, der so festgelegt werden kann, dass TLS 1.1 und TLS 1.2 der Standardmäßigen Liste sicherer Protokolle für WinHTTP hinzugefügt werden. Erstellen Sie nach der Installation des Patches die folgenden Registrierungswerte:

Wichtig

Aktivieren Sie diese Einstellungen auf allen Clients, auf denen frühere Versionen von Windows ausgeführt werden, bevor Sie TLS 1.2 aktivieren und die älteren Protokolle auf den Configuration Manager-Servern deaktivieren. Andernfalls können Sie sie versehentlich verwaist haben.

Überprüfen Sie den Wert der DefaultSecureProtocols Registrierungseinstellung, z. B.:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Wenn Sie diesen Wert ändern, starten Sie den Computer neu.

Das obige Beispiel zeigt den Wert 0xAA0 für die WinHTTP-Einstellung. DefaultSecureProtocols Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP in Windows listet den Hexadezimalwert für jedes Protokoll auf. In Windows ist dieser Wert standardmäßig zum Aktivieren von 0x0A0 SSL 3.0 und TLS 1.0 für WinHTTP. Im obigen Beispiel werden diese Standardwerte beibehalten und außerdem TLS 1.1 und TLS 1.2 für WinHTTP aktiviert. Diese Konfiguration stellt sicher, dass die Änderung keine andere Anwendung unterbricht, die möglicherweise weiterhin auf SSL 3.0 oder TLS 1.0 angewiesen ist. Sie können den Wert von 0xA00 verwenden, um nur TLS 1.1 und TLS 1.2 zu aktivieren. Configuration Manager unterstützt das sicherste Protokoll, das Windows zwischen beiden Geräten aushandelt.

Wenn Sie SSL 3.0 und TLS 1.0 vollständig deaktivieren möchten, verwenden Sie die Einstellung für deaktivierte SChannel-Protokolle in Windows. Weitere Informationen finden Sie unter Einschränken der Verwendung bestimmter kryptografischer Algorithmen und Protokolle in Schannel.dll.

Stellen Sie sicher, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist.

TLS 1.2 ist standardmäßig aktiviert. Daher ist keine Änderung an diesen Schlüsseln erforderlich, um sie zu aktivieren. Sie können Änderungen Protocols vornehmen, um TLS 1.0 und TLS 1.1 zu deaktivieren, nachdem Sie die restlichen Anweisungen in diesen Artikeln befolgt haben und sie überprüft haben, ob die Umgebung funktioniert, wenn nur TLS 1.2 aktiviert ist.

Überprüfen Sie die Einstellung des \SecurityProviders\SCHANNEL\Protocols Registrierungsunterschlüssels, wie in den bewährten Methoden der Transport layer security (TLS) mit dem .NET Frameworkgezeigt.

Aktualisieren und Konfigurieren der .NET Framework zur Unterstützung von TLS 1.2

Ermitteln der .NET-Version

Ermitteln Sie zunächst die installierten .NET-Versionen. Weitere Informationen finden Sie unter Ermitteln, welche Versionen und Service Pack-Ebenen von .NET Framework installiert sind.

Installieren von .NET-Updates

Installieren Sie die .NET-Updates, damit Sie starke Kryptografie aktivieren können. Einige Versionen von .NET Framework erfordern möglicherweise Updates, um starke Kryptografie zu aktivieren. Verwenden Sie die folgenden Richtlinien:

  • NET Framework 4.6.2 und höher unterstützt TLS 1.1 und TLS 1.2. Bestätigen Sie die Registrierungseinstellungen, es sind jedoch keine weiteren Änderungen erforderlich.

    Hinweis

    Ab Version 2107 erfordert Configuration Manager Microsoft .NET Framework Version 4.6.2 für Standortserver, bestimmte Standortsysteme, Clients und die Konsole. Installieren Sie nach Möglichkeit in Ihrer Umgebung die neueste Version von .NET, Version 4.8.

  • Aktualisieren Sie NET Framework 4.6 und frühere Versionen, um TLS 1.1 und TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter .NET Framework Versionen und Abhängigkeiten.

  • Wenn Sie .NET Framework 4.5.1 oder 4.5.2 auf Windows 8.1, Windows Server 2012 R2 oder Windows Server 2012 verwenden, wird dringend empfohlen, die neuesten Sicherheitsupdates für .Net Framework 4.5.1 und 4.5.2 zu installieren, um sicherzustellen, dass TLS 1.2 ordnungsgemäß aktiviert werden kann.

    Als Referenz wurde TLS 1.2 mit den folgenden Hotfixrollups in .Net Framework 4.5.1 und 4.5.2 eingeführt:

Konfigurieren für starke Kryptografie

Konfigurieren Sie .NET Framework, um starke Kryptografie zu unterstützen. Legen Sie die SchUseStrongCrypto Registrierungseinstellung auf DWORD:00000001 . Dieser Wert deaktiviert die RC4-Datenstromchiffre und erfordert einen Neustart. Weitere Informationen zu dieser Einstellung finden Sie unter Microsoft Security Advisory 296038.

Stellen Sie sicher, dass Sie die folgenden Registrierungsschlüssel auf jedem Computer festlegen, der über das Netzwerk mit einem TLS 1.2-fähigen System kommuniziert. Beispielsweise Configuration Manager-Clients, nicht auf dem Standortserver installierte Remotestandortsystemrollen und der Standortserver selbst.

Aktualisieren Sie für 32-Bit-Anwendungen, die auf 32-Bit-OSs ausgeführt werden, und für 64-Bit-Anwendungen, die auf 64-Bit-OSs ausgeführt werden, die folgenden Unterschlüsselwerte:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Aktualisieren Sie für 32-Bit-Anwendungen, die auf 64-Bit-OSs ausgeführt werden, die folgenden Unterschlüsselwerte:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Hinweis

Die SchUseStrongCrypto Einstellung ermöglicht .NET die Verwendung von TLS 1.1 und TLS 1.2. Die SystemDefaultTlsVersions Einstellung ermöglicht .NET die Verwendung der Betriebssystemkonfiguration. Weitere Informationen finden Sie unter "Bewährte Methoden für TLS" mit dem .NET Framework.

Nächste Schritte