Aktivieren von TLS 1.2 auf den Standortservern und Remotestandortsystemen

Gilt für: Configuration Manager (aktueller Branch)

Wenn Sie TLS 1.2 für Ihre Configuration Manager-Umgebung aktivieren, beginnen Sie zunächst mit der Aktivierung von TLS 1.2 für die Clients. Aktivieren Sie anschließend TLS 1.2 auf den Standortservern und Remotestandortsystemen. Testen Sie schließlich die Kommunikation zwischen Client und Standortsystem, bevor Sie möglicherweise die älteren Protokolle auf serverseitiger Seite deaktivieren. Die folgenden Aufgaben sind erforderlich, um TLS 1.2 auf den Standortservern und Remotestandortsystemen zu aktivieren:

  • Sicherstellen, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist
  • .NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
  • Aktualisieren von SQL Server und Clientkomponenten
  • Update Windows Server Update Services (WSUS)

Weitere Informationen zu Abhängigkeiten für bestimmte Configuration Manager- Funktionen und -Szenarien finden Sie unter Informationen zum Aktivieren von TLS 1.2.

Sicherstellen, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist

Die Protokollnutzung wird größtenteils auf drei Ebenen gesteuert: auf Betriebssystemebene, Framework- oder Plattformebene und Anwendungsebene. TLS 1.2 ist standardmäßig auf Betriebssystemebene aktiviert. Nachdem Sie sichergestellt haben, dass die .NET-Registrierungswerte so festgelegt sind, dass TLS 1.2 aktiviert wird, und überprüfen Sie, ob die Umgebung TLS 1.2 im Netzwerk ordnungsgemäß verwendet, können Sie den SChannel\Protocols Registrierungsschlüssel bearbeiten, um die älteren, weniger sicheren Protokolle zu deaktivieren. Weitere Informationen zum Deaktivieren von TLS 1.0 und 1.1 finden Sie unter Konfigurieren von Schannel-Protokollen in der Windows-Registrierung.

.NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren

Ermitteln der .NET-Version

Ermitteln Sie zunächst die installierten .NET-Versionen. Weitere Informationen finden Sie unter So stellen Sie fest, welche Versionen und Service Packs von .NET Framework installiert sind.

.NET-Updates installieren

Installieren Sie die .NET-Updates, damit Sie starke Kryptografie aktivieren können. Einige Versionen von .NET Framework erfordern möglicherweise Updates, um eine starke Kryptografie zu ermöglichen. Nutzen Sie diese Richtlinien:

  • NET Framework 4.6.2 und höher unterstützt TLS 1.1 und TLS 1.2. Bestätigen Sie die Registrierungseinstellungen, aber es sind keine weiteren Änderungen erforderlich.

    Hinweis

    Ab Version 2107 erfordert Configuration Manager Microsoft .NET Framework Version 4.6.2 für Standortserver, bestimmte Standortsysteme, Clients und die Konsole. Installieren Sie nach Möglichkeit in Ihrer Umgebung die neueste Version von .NET Version 4.8.

  • Aktualisieren Sie NET Framework 4.6 und frühere Versionen, um TLS 1.1 und TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter .NET Framework – Versionen und Abhängigkeiten.

  • Wenn Sie .NET Framework 4.5.1 oder 4.5.2 auf Windows 8.1, Windows Server 2012 R2 oder Windows Server 2012 verwenden, wird dringend empfohlen, die neuesten Sicherheitsupdates für .NET Framework 4.5.1 und 4.5.2 zu installieren, um sicherzustellen, dass TLS 1.2 ordnungsgemäß aktiviert werden kann.

    Als Referenz wurde TLS 1.2 erstmals in .NET Framework 4.5.1 und 4.5.2 mit den folgenden Hotfixrollups eingeführt:

Konfigurieren für starke Kryptografie

Konfigurieren Sie .NET Framework, um starke Kryptografie zu unterstützen. Legen Sie die SchUseStrongCrypto Registrierungseinstellung auf fest DWORD:00000001. Dieser Wert deaktiviert die RC4-Streamchiffre und erfordert einen Neustart. Weitere Informationen zu dieser Einstellung finden Sie unter Microsoft-Sicherheitsempfehlung 296038.

Stellen Sie sicher, dass Sie die folgenden Registrierungsschlüssel auf jedem Computer festlegen, der über das Netzwerk mit einem TLS 1.2-fähigen System kommuniziert. Beispielsweise Configuration Manager Clients, Remotestandortsystemrollen, die nicht auf dem Standortserver installiert sind, und der Standortserver selbst.

Aktualisieren Sie für 32-Bit-Anwendungen, die auf 32-Bit-Betriebssystemen ausgeführt werden, und für 64-Bit-Anwendungen, die auf 64-Bit-Betriebssystemen ausgeführt werden, die folgenden Unterschlüsselwerte:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Aktualisieren Sie für 32-Bit-Anwendungen, die auf 64-Bit-Systemen ausgeführt werden, die folgenden Unterschlüsselwerte:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Hinweis

Die SchUseStrongCrypto Einstellung ermöglicht .NET die Verwendung von TLS 1.1 und TLS 1.2. Die SystemDefaultTlsVersions Einstellung ermöglicht .NET die Verwendung der Betriebssystemkonfiguration. Weitere Informationen finden Sie unter Bewährte Methoden für TLS mit dem .NET Framework.

Aktualisieren von SQL Server und Clientkomponenten

Microsoft SQL Server 2016 und höher unterstützen TLS 1.1 und TLS 1.2. Frühere Versionen und abhängige Bibliotheken erfordern möglicherweise Updates. Weitere Informationen finden Sie unter KB-3135244: TLS 1.2-Unterstützung für Microsoft SQL Server.

Sekundäre Standortserver müssen mindestens SQL Server 2016 Express mit Service Pack 2 (13.2.50.26) oder höher verwenden.

SQL Server Native Client

Hinweis

Kb-3135244 beschreibt auch die Anforderungen für SQL Server Clientkomponenten.

Stellen Sie sicher, dass Sie auch die SQL Server Native Client auf mindestens Version SQL Server 2012 SP4 (11.*.7001.0) aktualisieren. Diese Anforderung ist eine Voraussetzungsprüfung (Warnung).

Configuration Manager verwendet SQL Server Native Client für die folgenden Standortsystemrollen:

  • Standortdatenbankserver
  • Standortserver: Standort der zentralen Verwaltung, primärer Standort oder sekundärer Standort
  • Verwaltungspunkt
  • Geräteverwaltungspunkt
  • Zustandsmigrationspunkt
  • SMS-Anbieter
  • Softwareupdatepunkt
  • Multicast-fähiger Verteilungspunkt
  • Asset Intelligence-Updatedienstpunkt
  • Reporting Services-Punkt
  • Registrierungspunkt
  • Endpoint Protection-Punkt
  • Dienstverbindungspunkt
  • Zertifikatregistrierungspunkt
  • Data Warehouse-Dienstpunkt

Aktivieren von TLS 1.2 im großen Stil mithilfe der Automatischen Computerkonfiguration und Azure Arc

Konfiguriert TLS 1.2 automatisch client- und serverübergreifend für Computer, die in Azure-, lokalen oder Multi-Cloud-Umgebungen ausgeführt werden. Um mit der Konfiguration von TLS 1.2 auf Ihren Computern zu beginnen, verbinden Sie diese mithilfe von Servern mit Azure Arc-Unterstützung mit Azure, die standardmäßig mit der Voraussetzung für die Computerkonfiguration verbunden sind. Nach der Verbindung kann TLS 1.2 mit einfacher Point-and-Click-Einfachheit konfiguriert werden, indem die integrierte Richtliniendefinition im Azure-Portal bereitgestellt wird: Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Servern. Der Richtlinienbereich kann auf Abonnement-, Ressourcengruppen- oder Verwaltungsgruppenebene zugewiesen werden und alle Ressourcen aus der Richtliniendefinition ausschließen.

Nachdem die Konfiguration zugewiesen wurde, kann der Konformitätsstatus Ihrer Ressourcen im Detail angezeigt werden, indem Sie zur Seite Gastzuweisungen navigieren und den Bereich nach unten zu den betroffenen Ressourcen eingrenzen.

Ein ausführliches, schrittweises Tutorial finden Sie unter Konsistentes Upgrade Ihres SERVER-TLS-Protokolls mithilfe von Azure Arc und Automanage Machine Configuration.

Update Windows Server Update Services (WSUS)

Um TLS 1.2 in früheren Versionen von WSUS zu unterstützen, installieren Sie das folgende Update auf dem WSUS-Server:

  • Installieren Sie für den WSUS-Server, auf dem Windows Server 2012 ausgeführt wird, update 4022721 oder ein späteres Rollupupdate.

  • Installieren Sie für den WSUS-Server, auf dem Windows Server 2012 R2 ausgeführt wird, update 4022720 oder ein späteres Rollupupdate.

Ab Windows Server 2016 wird TLS 1.2 standardmäßig für WSUS unterstützt. TLS 1.2-Updates sind nur auf Windows Server 2012- und Windows Server 2012 R2-WSUS-Servern erforderlich.

Nächste Schritte