A TLS 1.2 engedélyezése ügyfeleken
A következőkre vonatkozik: Configuration Manager (Aktuális ág)
Amikor engedélyezi a TLS 1.2-t a Configuration Manager környezetben, először is gondoskodjon arról, hogy az ügyfelek képesek legyenek és megfelelően konfigurálva legyenek a TLS 1.2 használatára, mielőtt engedélyeznénk a TLS 1.2-t, és letiltanák a helykiszolgálókon és a távoli helyrendszereken a régebbi protokollokat. A TLS 1.2 ügyfeleken való engedélyezésének három feladata van:
- A Windows és a WinHTTP frissítése
- Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
- A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
Az adott Configuration Manager szolgáltatások és forgatókönyvek függőségeiről a TLS 1.2 engedélyezéséről szóló cikkben talál további információt.
A Windows és a WinHTTP frissítése
A Windows Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 és újabb verziói natív módon támogatják a TLS 1.2-t a WinHTTP-n keresztüli ügyfél-kiszolgáló kommunikációhoz.
A Windows korábbi verziói, például a Windows 7 vagy a Windows Server 2012, alapértelmezés szerint nem engedélyezik a TLS 1.1-et vagy a TLS 1.2-t a WinHTTP-t használó biztonságos kommunikációhoz. A Windows ezen korábbi verzióihoz telepítse az Update 3140245-t az alábbi beállításjegyzék-érték engedélyezéséhez, amely beállítható úgy, hogy a TLS 1.1 és a TLS 1.2 hozzáadható a WinHTTP alapértelmezett biztonságos protokolllistájához. A telepített javítással hozza létre a következő beállításjegyzék-értékeket:
Fontos
Engedélyezze ezeket a beállításokat a Windows korábbi verzióit futtató összes ügyfélen, mielőtt engedélyezi a TLS 1.2-t, és letiltja a régebbi protokollokat a Configuration Manager kiszolgálókon. Ellenkező esetben véletlenül elárvultathatja őket.
Ellenőrizze a beállításjegyzék-beállítás értékét DefaultSecureProtocols , például:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
Ha módosítja ezt az értéket, indítsa újra a számítógépet.
A fenti példában a WinHTTP DefaultSecureProtocols beállítás értéke 0xAA0 látható. Frissítsen a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ben , és felsorolja az egyes protokollok hexadecimális értékét. A Windowsban alapértelmezés szerint ez az érték az 0x0A0 SSL 3.0 és a TLS 1.0 engedélyezése a WinHTTP-hoz. A fenti példa megtartja ezeket az alapértelmezett értékeket, és engedélyezi a TLS 1.1-et és a TLS 1.2-t a WinHTTP-hez. Ez a konfiguráció biztosítja, hogy a módosítás ne törje meg az SSL 3.0-ra vagy a TLS 1.0-ra támaszkodó egyéb alkalmazásokat. Az értékével 0xA00 csak a TLS 1.1-et és a TLS 1.2-t engedélyezheti. Configuration Manager támogatja a Legbiztonságosabb protokollt, amelyet a Windows egyeztet a két eszköz között.
Ha teljesen le szeretné tiltani az SSL 3.0-t és a TLS 1.0-t, használja az SChannel letiltott protokollok beállítását a Windowsban. További információ: Bizonyos titkosítási algoritmusok és protokollok használatának korlátozása Schannel.dll.
Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
A protokollhasználat többnyire három szinten van szabályozva, az operációs rendszer, a keretrendszer vagy a platform szintjén, valamint az alkalmazás szintjén. A TLS 1.2 alapértelmezés szerint engedélyezve van az operációs rendszer szintjén. Ha meggyőződik arról, hogy a .NET beállításjegyzék-értékei a TLS 1.2 engedélyezésére vannak beállítva, és meggyőződik arról, hogy a környezet megfelelően használja a TLS 1.2-t a hálózaton, érdemes lehet szerkeszteni a SChannel\Protocols beállításkulcsot, hogy letiltsa a régebbi, kevésbé biztonságos protokollokat. A TLS 1.0 és 1.1 letiltásával kapcsolatos további információkért lásd: Schannel-protokollok konfigurálása a Windows beállításjegyzékében.
A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
A .NET-verzió meghatározása
Először határozza meg a telepített .NET-verziókat. További információ: A telepített .NET-keretrendszer verzióinak és szervizcsomag-szintjeinek meghatározása.
.NET-frissítések telepítése
Telepítse a .NET-frissítéseket, hogy engedélyezze az erős titkosítást. A .NET-keretrendszer egyes verzióinak frissítésére lehet szükség az erős titkosítás engedélyezéséhez. Kövesse az alábbi irányelveket:
A NET-keretrendszer 4.6.2-s és újabb verziói támogatják a TLS 1.1-et és a TLS 1.2-t. Erősítse meg a beállításjegyzék beállításait, de nincs szükség további módosításokra.
Megjegyzés:
A 2107-es verziótól kezdődően a Configuration Manager Microsoft .NET-keretrendszer 4.6.2-es verziót igényel a helykiszolgálókhoz, adott helyrendszerekhez, ügyfelekhez és a konzolhoz. Ha lehetséges, telepítse a .NET legújabb, 4.8-es verzióját.
Frissítse a NET-keretrendszer 4.6-os és korábbi verzióit a TLS 1.1 és a TLS 1.2 támogatásához. További információ: .NET-keretrendszer verziók és függőségek.
Ha .NET-keretrendszer 4.5.1-et vagy 4.5.2-t használ Windows 8.1-en, Windows Server 2012 R2-n vagy Windows Server 2012, javasoljuk, hogy telepítse a .Net-keretrendszer 4.5.1-ös és 4.5.2-s verziójának legújabb biztonsági frissítéseit, hogy a TLS 1.2 megfelelően engedélyezhető legyen.
A TLS 1.2-t először a .Net-keretrendszer 4.5.1-ben és 4.5.2-ben vezettük be a következő kumulatív gyorsjavításokkal:
- Windows 8.1 és Server 2012 R2 esetén: Gyorsjavítások összesítése 3099842
- Windows Server 2012 esetén: Gyorsjavítás kumulatív 3099844
Konfigurálás erős titkosításhoz
Konfigurálja a .NET-keretrendszer az erős titkosítás támogatásához. Állítsa a SchUseStrongCrypto beállításjegyzék beállítását értékre DWORD:00000001. Ez az érték letiltja az RC4-adatfolyam titkosítását, és újraindítást igényel. További információ erről a beállításról: Microsoft Security Advisory 296038.
Minden olyan számítógépen állítsa be a következő beállításkulcsokat, amelyek a hálózaton keresztül kommunikálnak egy TLS 1.2-kompatibilis rendszerrel. Például Configuration Manager ügyfeleket, a helykiszolgálóra nem telepített távoli helyrendszerszerepköröket és magát a helykiszolgálót.
A 32 bites operációs rendszereken futó 32 bites alkalmazások és a 64 bites operációs rendszereken futó 64 bites alkalmazások esetében frissítse a következő alkulcsértékeket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
A 64 bites operációs rendszereken futó 32 bites alkalmazások esetében frissítse a következő alkulcsértékeket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Megjegyzés:
A SchUseStrongCrypto beállítás lehetővé teszi, hogy a .NET a TLS 1.1-et és a TLS 1.2-t használja. A SystemDefaultTlsVersions beállítás lehetővé teszi, hogy a .NET az operációs rendszer konfigurációját használja. További információ: A TLS ajánlott eljárásai az .NET-keretrendszer.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: