Vorgehensweise: Implementieren von Transport Layer Security 1.2
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
In diesem Artikel wird beschrieben, wie das Protokoll Transport Layer Security (TLS) Version 1.2 für eine System Center – Operations Manager-Verwaltungsgruppe aktiviert werden kann.
Führen Sie die folgenden Schritte aus, um die TLS-Protokollversion 1.2 zu aktivieren:
Hinweis
Microsoft OLE DB-Treiber 18 für SQL Server (empfohlen) wird mit Operations Manager 2016 UR9 und höher unterstützt.
- Installieren Sie SQL Server 2012 Native Client 11.0 oder Microsoft OLE DB-Treiber 18 für SQL Server auf allen Verwaltungsservern und dem Webkonsolenserver.
- Installieren Sie SQL Server 2012 Native Client 11.0 auf allen Verwaltungsservern und dem Webkonsolenserver.
- Installieren Sie .NET Framework 4.6 auf allen Verwaltungsservern, Gatewayservern, Webkonsolenservern und dem SQL Server, der die Operations Manager-Datenbanken und die Berichtsserverrolle hostet.
- Installieren Sie das erforderliche SQL Server-Update, das TLS 1.2 unterstützt.
- Installieren Sie ODBC 11.0 oder ODBC 13.0 auf allen Verwaltungsservern.
- Installieren Sie das Updaterollup 4 oder höher für System Center 2016 – Operations Manager.
- Konfigurieren Sie Windows so, dass nur TLS 1.2 verwendet wird.
- Konfigurieren Sie Operations Manager so, dass nur TLS 1.2 verwendet wird.
Operations Manager generiert selbstsignierte SHA1- und SHA2-Zertifikate. Dies ist erforderlich, um TLS 1.2 zu aktivieren. Wenn von einer Zertifizierungsstelle signierte Zertifikate verwendet werden, stellen Sie sicher, dass es sich um SHA1- oder SHA2-Zertifikate handelt.
Hinweis
Wenn Ihre Sicherheitsrichtlinien TLS 1.0 und 1.1 einschränken, tritt beim Installieren einer neuen Rolle für Operations Manager 2016-Verwaltungsserver, -Gatewayserver, -Webkonsole und -Reporting Services ein Fehler auf, da das Installationsmedium keine Updates für die Unterstützung von TLS 1.2 enthält. Diese Rollen können nur installiert werden, indem Sie TLS 1.0 im System aktivieren, Update Rollup 4 anwenden und dann TLS 1.2 im System aktivieren. Diese Einschränkung gilt nicht für Operations Manager Version 1801.
Konfiguration von Windows, dass nur das TLS-Protokoll 1.2 verwendet wird.
Verwenden Sie eine der folgenden Methoden zur Konfiguration von Windows, dass nur das TLS-Protokoll 1.2 verwendet wird.
Methode 1: Manuelle Bearbeitung der Registrierung
Wichtig
Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung für die Wiederherstellung, für den Fall, dass Probleme auftreten.
Verwenden Sie die folgenden Schritte zum systemweiten Aktivieren/Deaktivieren aller SCHANNEL-Protokolle. Es wird empfohlen, das TLS-Protokoll 1.2 für eingehende Kommunikation, und die Protokolle TLS 1.2, TLS 1.1 und TLS 1.0 für die gesamte ausgehende Kommunikation zu aktivieren.
Hinweis
Diese Registrierungsänderungen wirken sich nicht auf die Verwendung von Kerberos- oder NTLM-Protokollen aus.
Melden Sie sich mit einem Konto mit lokalen Administratoranmeldeinformationen beim Server an.
Starten Sie den Registrierungs-Editor, indem Sie mit der rechten Maustaste auf Starten klicken. Geben Sie Regedit in das Textfeld Ausführen ein, und klicken Sie dann auf OK.
Öffnen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
Erstellen Sie einen Unterschlüssel unter Protokolle für SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2.
Erstellen Sie Client- und Server-Unterschlüssel unter jedem Unterschlüssel der Protokollversion, den Sie zuvor erstellt haben. Beispielsweise wäre der untergeordneten Schlüssel für TLS 1.0 HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client und HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.
Um jedes Protokoll zu deaktivieren, erstellen Sie die folgenden DWORD-Werte unter Server und Client:
- Enabled [Wert = 0]
- DisabledByDefault [Wert = 1]
Um das TLS-Protokoll 1.2 zu aktivieren, erstellen Sie die folgenden DWORD-Werte unter HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client und HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:
- Enabled [Wert = 1]
- DisabledByDefault [Wert = 0]
Schließen Sie den Registrierungs-Editor.
Methode 2: Automatische Bearbeitung der Registrierung
Führen Sie das folgende Windows PowerShell-Skript im Administratormodus aus, um Windows automatisch so zu konfigurieren, dass nur das TLS-Protokoll 1.2 verwendet wird.
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Konfigurieren von Operations Manager zur ausschließlichen Verwendung von TLS 1.2
Führen Sie nach Abschluss der Konfiguration aller erforderlichen Komponenten für Operations Manager die folgenden Schritte auf allen Verwaltungsservern, dem Hostserver der Webkonsolenrolle und auf jedem Windows-Computer, auf dem der Agent installiert ist, aus.
Wichtig
Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie jegliche Änderungen durchführen, sichern Sie die Registrierung für die Wiederherstellung, für den Fall, dass Probleme auftreten.
Hinweis
Wenn SCOM 2012 R2 unter Windows 2012 ausgeführt wird, sind zusätzliche Änderungen erforderlich, damit TLS 1.2 anstelle von HTTP für die UNIX/Linux-Überwachung verwendet wird. Um TLS 1.2 als Standardsicherheitsprotokolle in WinHTTP unter Windows zu aktivieren, müssen die folgenden Änderungen vorgenommen werden, die unter Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP in Windows beschrieben werden.
- Installieren Sie KB3140245 auf den Verwaltungsservern/Gatewayservern im UNIX/Linux-Ressourcenpool.
- Sichern Sie die geänderten Registrierungen wie im KB-Artikel beschrieben.
- Laden Sie das Tool Easy Fix auf den Verwaltungsservern/Gateways im UNIX/Linux-Ressourcenpool herunter, und führen Sie es aus.
- Starten Sie die Server neu.
Manuelles Bearbeiten der Registrierung
- Melden Sie sich mit einem Konto mit lokalen Administratoranmeldeinformationen beim Server an.
- Starten Sie den Registrierungs-Editor, indem Sie mit der rechten Maustaste auf Starten klicken. Geben Sie Regedit in das Textfeld Ausführen ein, und klicken Sie dann auf OK.
- Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
- Erstellen Sie den DWORD-Wert SchUseStrongCrypto unter diesem Unterschlüssel mit einem Wert von 1.
- Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
- Erstellen Sie den DWORD-Wert SchUseStrongCrypto unter diesem Unterschlüssel mit einem Wert von 1.
- Starten Sie das System neu, damit die Einstellungen wirksam werden.
Automatische Bearbeitung der Registrierung
Führen Sie das folgende Windows PowerShell-Skript im Administratormodus für die automatische Konfiguration von Operations Manager aus, um nur das TLS-Protokoll 1.2 zu verwenden.
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Zusätzliche Einstellungen
Wenn dies für System Center 2016 – Operations Manager implementiert wird, dann stellen Sie nach dem Installieren von Update Rollup 4 sicher, dass Sie die Management Packs importieren, die in diesem Rollup im folgenden Verzeichnis enthalten sind: \Programme\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.
Wenn Sie eine unterstützte Version von Linux-Server mit Operations Manager überwachen, befolgen Sie die Anweisungen auf der entsprechenden Website für Ihre Distribution zur Konfiguration von TLS 1.2.
Überwachungssammeldienste (ACS)
Für die Überwachungssammeldienste (ACS) müssen Sie zusätzliche Änderungen in der Registrierung auf dem ACS-Sammlungsserver vornehmen. ACS verwendet DSN zum Herstellen von Verbindungen zur Datenbank. Sie müssen DSN-Einstellungen aktualisieren, damit sie für TLS 1.2 funktionsfähig werden.
Melden Sie sich mit einem Konto mit lokalen Administratoranmeldeinformationen beim Server an.
Starten Sie den Registrierungs-Editor, indem Sie mit der rechten Maustaste auf Starten klicken. Geben Sie Regedit in das Textfeld Ausführen ein, und klicken Sie dann auf OK.
Suchen Sie dem folgenden ODBC-Unterschlüssel für OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.
Hinweis
Der Standardname für DSN lautet OpsMgrAC.
Wählen Sie im Unterschlüssel ODBC-Datenquellen den DSN-Namen OpsMgrAC aus. Er enthält den Namen des ODBC-Treibers, der für die Verbindung mit der Datenbank verwendet werden soll. Wenn Sie ODBC 11.0 installiert haben, ändern Sie diesen Namen in ODBC Driver 11 für SQL Server, oder wenn Sie ODBC 13.0 installiert haben, ändern Sie diesen Namen in ODBC Driver 13 für SQL Server.
Aktualisieren Sie im Unterschlüssel OpsMgrAC den Treiber für die installierte ODBC-Version.
- Wenn ODBC 11.0 installiert ist, ändern Sie den Treibereintrag zu %WINDIR%\system32\msodbcsql11.dll.
- Wenn ODBC 13.0 installiert ist, ändern Sie den Treibereintrag zu %WINDIR%\system32\msodbcsql13.dll.
Alternativ können Sie die folgende reg-Datei in Notepad oder einem anderen Text-Editor erstellen und speichern. Zur Ausführung der gespeicherten reg-Datei doppelklicken Sie auf die Datei.
Erstellen Sie für ODBC 11.0 die folgende ODBC-11.0.reg-Datei:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"Erstellen Sie für ODBC 13.0 die folgende ODBC-13.0.reg-Datei:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
Nächste Schritte
Eine vollständige Liste mit den verwendeten Ports, der Kommunikationsrichtung und Angaben zur Portkonfiguration finden Sie unter Configuring a Firewall for Operations Manager (Konfigurieren einer Firewall für Operations Manager).
Eine allgemeine Übersicht über den Datenschutz zwischen Komponenten in einer Verwaltungsgruppe finden Sie unter Authentifizierung und Datenverschlüsselung in Operations Manager.