Deshabilitar TLS 1.0/1.1 en Skype Empresarial Server 2015

  • Artículo

Este artículo le ayuda a preparar e implementar la deshabilitación de TLS 1.0 y 1.1 en sus entornos. Este proceso requiere una amplia planificación y preparación. Revise cuidadosamente toda la información de este artículo a medida que planea deshabilitar TLS 1.0 y 1.1 para su organización. Hay muchas dependencias externas y condiciones de conectividad que podrían verse afectadas por la deshabilitación de TLS 1.0/1.1, por lo que se garantiza una planeación y pruebas exhaustivas.

Fondo y ámbito

Los controladores principales para proporcionar TLS 1.0 y 1.1 deshabilitan la compatibilidad con Skype Empresarial Server local son los requisitos del Consejo de estándares de seguridad del sector de tarjetas de pago (PCI) y los requisitos de los estándares federales de procesamiento de información. Puedes encontrar más información sobre los requisitos pci aquí. Microsoft no puede proporcionar orientación sobre si su organización debe cumplir o no estos u otros requisitos. Debe determinar si es necesario deshabilitar TLS 1.0 y/o 1.1 en sus entornos.

Microsoft ha elaborado unas notas del producto sobre TLS disponibles aquí y también recomendamos la lectura en segundo plano disponible en este blog de Exchange.

Ámbito de compatibilidad

Ámbito hace referencia a los límites de compatibilidad. Totalmente probado y compatible significa que admitimos totalmente y hemos probado la deshabilitación de TLS 1.0 y 1.1 para las versiones del producto enumeradas. Actualmente en investigación significa simplemente eso; estamos investigando activamente cómo incorporar estos productos al ámbito del soporte de deshabilitación de TLS. Fuera del ámbito significa que estas versiones del producto no admiten la deshabilitación de TLS 1.0 o 1.1 y no funcionarán, con las excepciones indicadas.

Servidores totalmente probados y compatibles

  • Skype Empresarial Server 2019 CU1 17.0.2046.123 (junio de 2019) o superior
  • Skype Empresarial Server 2015 CU9 6.0.9319.548 (mayo de 2019) o posterior en Windows Server 2012 (con kb 3140245 o actualización de superseding), 2012 R2 o 2016.
  • Actualización local Skype Empresarial Server 2015, con CU9 6.0.9319.548 (mayo de 2019) o superior en Windows Server 2008 R2, 2012 (con KB 3140245 o actualización supersededing), o 2012 R2.
  • Conectividad de Exchange y Outlook Web App con Exchange Server 2010 SP3 RU19 o posterior, instrucciones aquí
  • Dispositivo de sucursal con capacidad de supervivencia (SBA) con Skype Empresarial Server 2015 CU6 HF2 o superior (confirme con el proveedor que empaqueta las actualizaciones adecuadas y que se han puesto a disposición de su dispositivo)
  • Servidor de sucursal con funciones de supervivencia (SBS) con Skype Empresarial Server 2015 CU6 HF2 o superior
  • Solo rol perimetral de Lync Server 2013, esto se debe a que el rol perimetral no tiene una dependencia en Windows Fabric 1.0.

Clientes totalmente probados y admitidos

  • Cliente de escritorio de Lync 2013 (Skype Empresarial), MSI y C2R, incluidos basic 15.0.5023.1000 o posteriores
  • cliente de escritorio de Skype Empresarial 2016, MSI 16.0.4678.1000 o posterior, incluido Basic
  • Skype Empresarial 2016 Hacer clic y ejecutar requiere la Novedades de abril de 2018:
    • Mensual y Semi-Annual dirigido, 16.0.9126.2152 o superior
    • Semi-Annual y el Canal diferido, 16.0.8431.2242 o superior
  • Skype Empresarial en Mac 16.15 o superior
  • Skype Empresarial para iOS y Android 6.19 o posterior
  • Salas de Microsoft Teams (anteriormente conocido como Skype Room System V2 SRS V2) 4.0.64.0 (diciembre de 2018) o superior
  • Actualización de Surface Hub para la edición Team basada en KB4499162 (mayo de 2019, compilación del SO 15063.1835) o superior
  • Skype Web App 2015 CU6 HF2 o superior (incluye Server)

Actualmente en investigación

  • Panel de calidad de llamadas (nueva instalación después de que TLS 1.0 y 1.1 se hayan deshabilitado, consulte a continuación)*

Fuera del ámbito

Excepto donde se indique, los siguientes productos no están dentro del ámbito de TLS 1.0/1.1 deshabilitan la compatibilidad y no funcionarán en un entorno donde tls 1.0 y 1.1 se han deshabilitado. Qué significa: si todavía utiliza clientes o servidores fuera del ámbito, debe actualizar o quitar estos si necesita deshabilitar TLS 1.0/1.1 en cualquier lugar de su Skype Empresarial Server implementación local.

  • Lync Server 2013
  • Lync Server 2010
  • Windows Server 2008 o inferior
  • Lync para Mac 2011
  • Lync 2013 para móviles: iOS, iPad, Android o Windows Phone
  • Cliente "MX" de la Tienda Windows de Lync
  • Lync Room System (es decir, SRSv1). LRS alcanzó la finalización del soporte el 9 de octubre de 2018 y no se actualizará para admitir TLS 1.2.
  • Todos los clientes de Lync 2010
  • Lync Phone Edition: instrucciones actualizadas aquí.
  • 2013 basado en aplicación de rama con funciones de supervivencia (SBA) o servidor de sucursal con funciones de supervivencia (SBS)
  • Cloud Connector Edition (CCE)
  • Skype Empresarial para Windows Phone

Excepciones

Lync Server 2013

Lync Server 2013 depende de Windows Fabric versión 1.0. En la fase de diseño de Lync Server 2013, Windows Fabric 1.0 se eligió para su atractiva y nueva arquitectura distribuida con el fin de proporcionar replicación, alta disponibilidad y tolerancia a errores. Con el tiempo, tanto Skype Empresarial Server como Windows Fabric han mejorado enormemente esta arquitectura conjunta con un importante re-diseño en versiones posteriores. El servidor de Skype Empresarial actual 2015 usa, por ejemplo, Windows Fabric 3.0.

Desafortunadamente, Windows Fabric 1.0 no admite TLS 1.2. Sin embargo, actualizaremos Lync Server 2013 para que funcione con TLS 1.2. Esto estará disponible en la próxima actualización acumulativa de Lync Server 2013. Proporcionamos compatibilidad con TLS 1.2 para habilitar la existencia, la migración, la federación y los escenarios híbridos.

Si su organización necesita deshabilitar TLS 1.0 y 1.1 y actualmente usa Lync Server 2013, le recomendamos que inicie el proceso de planeación, con la posibilidad de que tenga que realizar la actualización en contexto o migrar en paralelo (nuevos grupos, mover usuarios) a Skype Empresarial Server 2015 o versiones posteriores. O bien, puede que quiera acelerar la migración a Skype Empresarial En línea.

Panel de calidad de llamadas

Actualmente, el panel de calidad de llamadas local depende de TLS 1.0 durante la nueva instalación (la primera vez que se instala en entornos locales). Actualmente estamos investigando este problema y tenemos previsto publicar una corrección en un futuro próximo. Si tiene previsto instalar el CQD y deshabilitar TAMBIÉN TLS 1.0, le recomendamos que complete primero la instalación del CQD y, después, continúe con la deshabilitación de TLS 1.0.

Skype Empresarial Administrador de SDN

Skype Empresarial administrador de SDN con SQL una base de datos tiene una dependencia en TLS 1.0 durante la nueva instalación. Si tiene previsto instalar Skype Empresarial Administrador de SDN con SQL una base de datos y también deshabilitar TLS 1.0, le recomendamos que complete primero Skype Empresarial Administrador de SDN y, a continuación, prosiga con la deshabilitación de TLS 1.0. En caso de que TLS 1.0 se haya deshabilitado antes de la instalación, debería habilitar temporalmente TLS 1.0 en SQL Server servidor back-end que se usará para hospedar Skype Empresarial base de datos SQL de SDN Manager.

Dispositivos de terceros

En dispositivos de terceros, como teléfonos 3PIP, videoconferencias, servidores proxy inversos y equilibradores de carga, asegúrese de validar la compatibilidad con TLS 1.2, pruebe cuidadosamente y póngase en contacto con el proveedor si es necesario.

Consideraciones de federación al deshabilitar TLS 1.0/1.1 en servidores perimetrales

Debe planear cuidadosamente y tener en cuenta el impacto de deshabilitar TLS 1.0/1.1 en los servidores perimetrales. Una vez que TLS 1.0 y 1.1 están deshabilitados, es posible que descubra que otras organizaciones ya no pueden federar con su organización.

Puede optar por mantener TLS 1.0/1.1 habilitado en los servidores perimetrales para mantener la compatibilidad con versiones anteriores con sistemas externos no parcheados (SfB 2015, Lync 2013) o anteriores (2010).

Microsoft no puede proporcionar consejos ni recomendaciones sobre si su red perimetral (o cualquier red) se encuentra dentro del estándar PCI; que debe determinar la empresa individual.

Skype Empresarial Online es capaz de TLS 1.2 hoy en día, por lo que no se espera ningún impacto en la implementación híbrida o la federación con en línea.

PIC (conectividad de mensajería instantánea pública) al servicio al consumidor de Skype: no esperamos que deshabilitar TLS 1.0/1.1 afecte a la conectividad de Skype; Las puertas de enlace MICROSOFT PIC ya son compatibles con TLS 1.2.

Requisitos previos y proceso

Excepto donde se indica anteriormente, una vez que tls 1.0 y 1.1 se deshabilitan servidores fuera del ámbito, los clientes y dispositivos funcionarán más tiempo correctamente, o en absoluto. Esto puede significar que tienes que pausar y esperar a obtener instrucciones actualizadas de Microsoft. Una vez que esté satisfecho de que cumple todos los requisitos y tenga un plan para solucionar las carencias, continúe.

A un nivel alto, mientras que Skype Empresarial Server 2019 está listo para el procedimiento en la instalación, Skype Empresarial Server 2015 requerirá que instale CU9, aplicar las actualizaciones necesarias a .NET y SQL, implementar las claves del Registro de requisitos previos y, por último, una ronda independiente de actualizaciones de configuración del sistema operativo (es decir, deshabilitar TLS 1.0 y 1.1 a través de la importación de archivos de registro). Es muy importante que complete la instalación de todos los requisitos previos, incluidos los Skype Empresarial Server 2015 CU6 HF2, antes de deshabilitar TLS 1.0 y 1.1 en cualquier servidor de su entorno. Cada servidor Skype Empresarial, incluidos el rol perimetral y los back-end de SQL, requiere las actualizaciones. Asegúrese también de que todos los clientes admitidos (dentro del ámbito) se han actualizado a las versiones mínimas necesarias. No olvide actualizar también las estaciones de trabajo de administración.

Queremos seguir el orden habitual de las operaciones de "inside out" para actualizar Skype Empresarial servidores. Trate los grupos Director, Chat persistente y Grupos emparejados de la misma manera que lo haría normalmente. El pedido y los métodos de actualización se tratan aquí y aquí.

Proceso de alto nivel

  1. Pruebe todos los pasos del laboratorio antes de configurar los servidores de producción.
  2. Realice una copia de seguridad y conserve una copia del registro exportado en cada uno de los servidores individuales que se van a actualizar. No puede compartir los registros entre servidores; contienen claves únicas basadas en máquina.
  3. Actualice todos los servidores de Skype Empresarial 2015 a CU9 o superior. Para Skype Empresarial Server 2019, actualice a CU1 o superior.
  4. Instale todos los requisitos previos para todos los servidores.
  5. Implemente las claves del Registro de requisitos previos.
  6. Asegúrese de que todos los clientes dentro del ámbito se actualicen.
  7. Deshabilite TLS 1.0 y 1.1 a través de la importación del Registro.
  8. Valide que las cargas de trabajo funcionan según lo esperado.
    • Si se encuentran problemas, solucionarlos y resolverlos, o bien
    • Restaurar el Registro del paso 2 para volver a habilitar TLS 1.0 y 1.1
  9. Valide que solo se esté usando TLS 1.2.

Requisitos previos de instalación para todos los servidores

Es necesaria una amplia actualización de la dependencia antes de empezar a deshabilitar TLS 1.0 y 1.1 en el nivel del sistema operativo en las implementaciones de Skype Empresarial Server 2015. A continuación se muestran las versiones mínimas que pueden admitir TLS 1.2. Implemente todas las actualizaciones de requisitos previos en todos los Skype Empresarial servidor de su entorno antes de empezar a deshabilitar TLS 1.0 y 1.1.

  1. Instale la actualización Skype Empresarial Server CU9 a todos los servidores.
    1. Instala la actualización a los componentes con el actualizador.
    2. Actualizar bases de datos según procedimientos documentados. Para obtener Skype Empresarial Server 2015, consulta KB 3061064.
    3. Valida la funcionalidad del producto en la implementación antes de seguir adelante con cualquier otro cambio.
  2. Descargar el instalador sin conexión de .NET 4.7.
    1. Referencia: .NET Framework 4.7
    2. Asegúrese de que los servicios de Skype Empresarial Server 2015 se detienen en el servidor front-end.
    3. Referencia: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
    4. Por ejemplo (Edición estándar): Stop-CsWindowsService
    5. Ex (Enterprise Edition):Invoke-CsComputerFailover
    6. Ejecute el paquete del instalador.
    7. Reinicie el servidor.
  3. Actualice SQL Express 2014 en todos los servidores.
    1. Referencia: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server
    2. Descargar SQL 2014 SP2
    3. Copiar el medio de instalación en una carpeta del servidor (por ejemplo: C:\01_2014SqlSp2)
    4. Asegúrese de que los servicios de Skype Empresarial Server 2015 se detienen en el servidor front-end
      • Por ejemplo (Edición estándar): Stop-CsWindowsService
      • Ex (Enterprise Edition):Invoke-CsComputerFailover
    5. Abrir una Administración símbolo del sistema y actualizar todos los componentes e instancias instalados
      • Ejemplo: C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe /qs /IAcceptSQLServerLicenseTerms /Action=Patch /AllInstances
  4. Actualizar SQL Native Client.
    1. Referencia: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server.
    2. Descargar desde https://www.microsoft.com/download/details.aspx?id=50402
    3. Asegúrese de que los servicios de Skype Empresarial Server 2015 se detienen en el servidor front-end.
      • Por ejemplo (Edición estándar): Stop-CsWindowsServices
      • Ex (Enterprise Edition):Invoke-CsComputerFailover
    4. Detener la ejecución de las instancias de SQL instaladas
      • Por ejemplo: Get-Service 'MSSQL$RTCLOCAL' | Stop-Service
      • Por ejemplo: Get-Service 'MSSQL$LYNCLOCAL' | Stop-Service
      • Ex (Solo edición estándar): Get-Service 'MSSQL$RTC' | Stop-Service
    5. Instale la actualización.
  5. Actualizar el controlador ODBC 11 para SQL Server para que incluya compatibilidad con TLS 1.2 (3135244 KB).
    1. Descargar el controlador ODBC 11 para SQL Server: Windows.
    2. Asegúrese de que los servicios de Skype Empresarial Server 2015 se detienen en el servidor front-end.
      • Ejemplo (edición estándar): Stop-CsWindowsService
      • Ejemplo (Enterprise Edition):Invoke-CsComputerFailover
    3. Instale la actualización.
  6. Implemente las claves del Registro de requisitos previos.

Claves del Registro necesarias

Copie o pegue la siguiente prueba en el Bloc de notas y cambie el nombre de TLSPreReq.reg o un nombre de su elección y, a continuación, importe:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

Para los extremos posteriores de SQL para grupos de Enterprise Edition, los requisitos previos y la deshabilitación de TLS deben tratarse como cualquier actualización sql o del sistema operativo; consulte:https://learn.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-server

Aunque se pueden combinar los pasos de deshabilitación de la aplicación y tls, recomendamos encarecidamente que se apliquen todos los requisitos previos antes de continuar con la deshabilitación de TLS 1.0 y 1.1 en el nivel del sistema operativo. El método recomendado sería preparar el entorno mediante la implementación de todos los requisitos previos, la validación de que todas las cargas de trabajo funcionan correctamente y según lo esperado y, a continuación, proceder con TLS 1.0/1.1 deshabilitar en un momento posterior.

Deshabilitar TLS 1.0 y 1.1 a través de la importación del Registro

Antes de continuar con los pasos siguientes, asegúrese de que ha completado todos los requisitos previos y actualizado Skype Empresarial Servers.

Copie el texto siguiente en un archivo del Bloc de notas y cámbiele el nombre a TLSDisable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]

"Functions"="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"AllowInsecureRenegoClients"=dword:00000000

"AllowInsecureRenegoServers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 256/256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA384]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA512]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

Importe el archivo .reg en cada servidor que desee deshabilitar TLS 1.0 y 1.1. Reinicie el servidor. Una vez que los servicios vuelvan a estar en línea, muévalos al siguiente servidor. El enfoque para los grupos de Enterprise Edition es el mismo que se seguiría para cualquier actualización del sistema operativo.

Habrá observado que estamos haciendo algo más que deshabilitar TLS 1.0 y 1.1 aquí. Estamos admitiendo la reordenación de Cipher Suite (como se muestra arriba) y la deshabilitación de algunos cifrados débiles más antiguos. Esta es la primera vez que admitimos oficialmente estos cambios en SCHANNEL y Crypto API en Skype Empresarial Server, y es importante tener en cuenta que estos cambios son los únicos que admitimos y hemos probado en este momento. Es posible que consideremos configuraciones adicionales en el futuro, pero, por ahora, no modifique el archivo de importación del Registro en su implementación.

Validar que las cargas de trabajo funcionan según lo esperado

Una vez que TLS 1.0 y 1.1 se hayan deshabilitado en su entorno, asegúrese de que todas las cargas de trabajo principales funcionen según lo esperado, como presencia de mensajería instantánea &, llamadas P2P, Telefonía IP empresarial, etc.

Validar solo el uso de TLS 1.2

Haga que el equipo de seguridad realice una nueva auditoría de tráfico de Skype Empresarial para asegurarse de que los protocolos anteriores TLS 1.0 y 1.1 ya no están en uso.

Como alternativa, puede usar Internet Explorer para probar conexiones TLS a servicios web desde Skype Empresarial Server 2015 después de deshabilitar TLS 1.0 y TLS 1.1.

  1. Inicie Internet Explorer.
  2. Selecciona Herramientas Opciones>de Internet.
  3. Selecciona la pestaña Avanzadas .
  4. En Configuración, desplázate hasta la parte inferior.
  5. Compruebe que TLS 1.0, TLS 1.1 y TLS 1.2 están habilitados.
  6. Examine la dirección URL del servicio web interno de su grupo de sfb 2015 (debe conectarse correctamente).
  7. Volver en Internet Explorer y deshabilite la opción Usar solo TLS 1.2.
  8. Examine de nuevo la dirección URL del servicio web interno de su grupo sfB 2015 (no se podrá conectar).

Opciones de Internet.

Escenarios de implementación avanzada

Dado que algunos requisitos previos de dependencia son necesarios para admitir TLS 1.2 en Skype Empresarial Server 2015, se producirá un error en la instalación desde medios RTM en cualquier sistema en el que tls 1.0 y 1.1 se hayan deshabilitado.

Implementar nuevos servidores de edición estándar o grupos de Enterprise Edition una vez que TLS 1.0 y 1.1 se hayan deshabilitado en su entorno.

Opción 1: Use SmartSetup. Tenga en cuenta que estamos actualizando SmartSetup para dar cabida a los archivos binarios de SQL actualizados en una CU futura y actualizaremos este artículo en el futuro.

Opción 2: Preinstala instancias sql locales (RTCLOCAL y LYNCLOCAL)

  1. Descargue y copie SQL Express 2014 SP2 (SQLEXPR_x64.exe) en la carpeta local en FE. Supongamos que la ruta de acceso <de la carpeta SQL_FOLDER_PATH>.

  2. Inicia PowerShell o símbolo del sistema y ve a <SQL_FOLDER_PATH>.

  3. Cree la instancia DE SQL RTCLOCAL ejecutando el comando siguiente. Espere hasta SQLEXPR_x64.exe finalice antes de continuar:

    SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=RTCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automati

  4. Para crear la instancia de SQL LYNCLOCAL, ejecute el comando siguiente. Espere hasta SQLEXPR_x64.exe finalice antes de continuar con el paso siguiente:

    SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=LYNCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automatic

  5. Ejecute la configuración rtm de Skype Empresarial Server 2015.

  6. Siga los pasos restantes de la sección de requisitos previos anterior.

Opción 3: También puede reemplazar manualmente los archivos binarios en un directorio de medios de instalación local de la siguiente manera:

  1. Requisitos previos de instalación para Skype Empresarial Server
  2. Instala .NET 4.7:
  3. Copiar archivos o carpetas ISO:
    • Con el iso de Skype Empresarial Server 2015 adjunto, abra el directorio raíz de la unidad que se adjunta como (Por ejemplo: D:) en Explorador de archivos.
    • Copie todas las carpetas y archivos en una carpeta de un disco local (por ejemplo: C:\SkypeForBusiness2015ISO).
    • Nota: Antes de instalar componentes, algunos archivos deberán actualizarse para obtener soporte técnico de TLS 1.2.
  4. Reemplazar paquetes MSI/EXE:
    • Reemplace los paquetes MSI y EXE existentes en la carpeta /Setup/amd64/ del medio de instalación en el equipo local.
    • SQL 2014 SP2 Express: https://www.microsoft.com/download/details.aspx?id=53167
      • Cambia el nombre a SQLEXPR_x64 en el equipo local y reemplaza el archivo existente en la carpeta Setup/amd64/ del medio de instalación.
    • SQL Native Client: https://www.microsoft.com/download/details.aspx?id=50402
      • Nota: Cambie el nombre de este archivo si es necesario para sqlncli.msi y, a continuación, reemplace el archivo existente que existe en la carpeta Setup/amd64/ del medio de instalación.
    • Objetos de administración SQL: https://www.microsoft.com/download/details.aspx?id=53164
      • Nota: El Feature Pack tendrá una gran cantidad de elementos que se pueden descargar. Selecciona para descargar solo SharedManagementObjects.msi.
      • Nota: Reemplaza el archivo existente que existe en la carpeta Setup/amd64/ del medio de instalación.
    • Tipos CLR de SQL: https://www.microsoft.com/download/details.aspx?id=53164
      • Nota: El Feature Pack tendrá una gran cantidad de elementos que se pueden descargar. Seleccionar para descargar solo CQLSysClrTypes.msi
      • Nota: Reemplace el archivo existente que existe en la carpeta Setup/amd64/ del medio de instalación.
  5. Instalar componentes principales:
    • Ejecuta Setup.exe desde la carpeta Setup/amd64/ del medio de instalación. Sigue las instrucciones para instalar Componentes principales
    • Cierre los componentes principales.
  6. Actualizar componentes principales:
    • Descargue el instalador de Skype Empresarial Update.
    • Ejecute el instalador para actualizar Componentes principales e instalar los contadores de rendimiento.
    • Nota: A partir del lanzamiento de CU6HF2, la función de actualización automática actualmente solo instalará hasta CU6. Por lo tanto, el actualizador debe ejecutarse por separado para actualizar los componentes principales a la 6.0.9319.516.
    • Referencia: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
  7. Instalar herramientas administrativas (opcionales):
    • Esto instalará el cliente nativo de Microsoft SQL Server 2012, los objetos de administración de SQL Server 2014 (x64) y los tipos CLR de Microsoft System para SQL Server 2014 (x64) con los archivos actualizados. Además, el Generador de topologías de Skype Empresarial Server 2015 y Panel de control estarán disponibles en el equipo local.
  8. Instalar el Almacén de configuración local (paso 1):
    • Abre el Asistente para la implementación, haz clic en Instalar o actualizar Skype Empresarial Server sistema y haz clic en Ejecutar en el paso 1: Instalar el Almacén de configuración local.
    • Haga clic en Siguiente en el cuadro de diálogo Instalar almacén de configuración local . Cuadro de diálogo Instalar almacén de configuración local.
    • Revise los resultados y asegúrese de que el estado de la tarea es Completado. Revise el archivo de registro resultante haciendo clic en Ver registro. El estado de la tarea se muestra como Completada.
    • Haga clic en Finalizar.
  9. Configurar o quitar componentes Skype Empresarial Server (paso 2):
    • Abra el Asistente para la implementación, haga clic en Instalar o actualizar Skype Empresarial Server sistema y haga clic en Ejecutar en el paso 2: Configurar o quitar componentes Skype Empresarial Server
    • Haga clic en Siguiente en el cuadro de diálogo Configurar componentes Skype Empresarial Server. la ventana Configurar Skype Empresarial Server componentes.
    • Revise el registro con Ver registro y valide que la configuración se haya completado sin problemas.
    • Haga clic en Finalizar.
  10. Continúe con la instalación y configuración adicionales según sea necesario (puede reanudar los procedimientos de instalación normales en este momento).