A TLS 1.2 engedélyezése a helykiszolgálókon és a távoli helyrendszereken
A következőkre vonatkozik: Configuration Manager (Aktuális ág)
Amikor engedélyezi a TLS 1.2-t a Configuration Manager környezetben, először engedélyezze a TLS 1.2-t az ügyfelek számára. Ezután engedélyezze a TLS 1.2-t a helykiszolgálókon és a távoli helyrendszereken. Végül tesztelje az ügyfél és a helyrendszer közötti kommunikációt, mielőtt esetleg letiltja a régebbi protokollokat a kiszolgálóoldalon. A TLS 1.2 helykiszolgálókon és távoli helyrendszereken való engedélyezéséhez a következő feladatok szükségesek:
- Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
- A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
- SQL Server és ügyfélösszetevők frissítése
- Windows Server Update Services frissítése (WSUS)
Az adott Configuration Manager szolgáltatások és forgatókönyvek függőségeiről a TLS 1.2 engedélyezéséről szóló cikkben talál további információt.
Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
A protokollhasználat többnyire három szinten van szabályozva, az operációs rendszer, a keretrendszer vagy a platform szintjén, valamint az alkalmazás szintjén. A TLS 1.2 alapértelmezés szerint engedélyezve van az operációs rendszer szintjén. Ha meggyőződik arról, hogy a .NET beállításjegyzék-értékei a TLS 1.2 engedélyezésére vannak beállítva, és meggyőződik arról, hogy a környezet megfelelően használja a TLS 1.2-t a hálózaton, érdemes lehet szerkeszteni a SChannel\Protocols beállításkulcsot, hogy letiltsa a régebbi, kevésbé biztonságos protokollokat. A TLS 1.0 és 1.1 letiltásával kapcsolatos további információkért lásd: Schannel-protokollok konfigurálása a Windows beállításjegyzékében.
A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
A .NET-verzió meghatározása
Először határozza meg a telepített .NET-verziókat. További információ: A telepített .NET-keretrendszer verzióinak és szervizcsomag-szintjeinek meghatározása.
.NET-frissítések telepítése
Telepítse a .NET-frissítéseket, hogy engedélyezze az erős titkosítást. A .NET-keretrendszer egyes verzióinak frissítésére lehet szükség az erős titkosítás engedélyezéséhez. Kövesse az alábbi irányelveket:
A NET-keretrendszer 4.6.2-s és újabb verziói támogatják a TLS 1.1-et és a TLS 1.2-t. Erősítse meg a beállításjegyzék beállításait, de nincs szükség további módosításokra.
Megjegyzés:
A 2107-es verziótól kezdődően a Configuration Manager a Microsoft .NET-keretrendszer 4.6.2-es verzióját igényli a helykiszolgálókhoz, adott helyrendszerekhez, ügyfelekhez és a konzolhoz. Ha lehetséges, telepítse a .NET legújabb, 4.8-es verzióját.
Frissítse a NET-keretrendszer 4.6-os és korábbi verzióit a TLS 1.1 és a TLS 1.2 támogatásához. További információ: .NET-keretrendszer verziók és függőségek.
Ha .NET-keretrendszer 4.5.1-et vagy 4.5.2-t használ Windows 8.1-en, Windows Server 2012 R2-n vagy Windows Server 2012, javasoljuk, hogy telepítse a .Net-keretrendszer 4.5.1-ös és 4.5.2-s verziójának legújabb biztonsági frissítéseit, hogy a TLS 1.2 megfelelően engedélyezhető legyen.
A TLS 1.2-t először a .Net-keretrendszer 4.5.1-ben és 4.5.2-ben vezettük be a következő kumulatív gyorsjavításokkal:
- Windows 8.1 és Server 2012 R2 esetén: Gyorsjavítások összesítése 3099842
- Windows Server 2012 esetén: Gyorsjavítás kumulatív 3099844
Konfigurálás erős titkosításhoz
Konfigurálja a .NET-keretrendszer az erős titkosítás támogatásához. Állítsa a SchUseStrongCrypto beállításjegyzék beállítását értékre DWORD:00000001. Ez az érték letiltja az RC4-adatfolyam titkosítását, és újraindítást igényel. További információ erről a beállításról: Microsoft Security Advisory 296038.
Minden olyan számítógépen állítsa be a következő beállításkulcsokat, amelyek a hálózaton keresztül kommunikálnak egy TLS 1.2-kompatibilis rendszerrel. Például Configuration Manager ügyfeleket, a helykiszolgálóra nem telepített távoli helyrendszerszerepköröket és magát a helykiszolgálót.
A 32 bites operációs rendszereken futó 32 bites alkalmazások és a 64 bites operációs rendszereken futó 64 bites alkalmazások esetében frissítse a következő alkulcsértékeket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
A 64 bites operációs rendszereken futó 32 bites alkalmazások esetében frissítse a következő alkulcsértékeket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Megjegyzés:
A SchUseStrongCrypto beállítás lehetővé teszi, hogy a .NET a TLS 1.1-et és a TLS 1.2-t használja. A SystemDefaultTlsVersions beállítás lehetővé teszi, hogy a .NET az operációs rendszer konfigurációját használja. További információ: A TLS ajánlott eljárásai az .NET-keretrendszer.
SQL Server és ügyfélösszetevők frissítése
A Microsoft SQL Server 2016-os és újabb verziói támogatják a TLS 1.1-et és a TLS 1.2-t. Előfordulhat, hogy a korábbi verziók és a függő kódtárak frissítéseket igényelnek. További információ: KB 3135244: A Microsoft SQL Server TLS 1.2-támogatása.
A másodlagos helykiszolgálóknak legalább SQL Server 2016 Expresst kell használniuk Service Pack 2 (13.2.50.26) vagy újabb verzióval.
SQL Server Native Client
Megjegyzés:
A TUDÁSBÁZIS 3135244 az SQL Server ügyfélösszetevők követelményeit is ismerteti.
Győződjön meg arról is, hogy a SQL Server Native Client legalább SQL Server 2012 SP4 verzióra (11.*.7001.0) frissít. Ez a követelmény egy előfeltétel-ellenőrzés (figyelmeztetés).
Configuration Manager SQL Server Native Client használ a következő helyrendszerszerepkörökben:
- Helyadatbázis-kiszolgáló
- Helykiszolgáló: központi adminisztrációs hely, elsődleges hely vagy másodlagos hely
- Felügyeleti pont
- Eszközfelügyeleti pont
- Állapotáttelepítési pont
- SMS-szolgáltató
- Szoftverfrissítési pont
- Csoportos küldésre képes terjesztési pont
- Eszközintelligencia frissítési szolgáltatási pontja
- Jelentéskészítési szolgáltatási pont
- Regisztrációs pont
- Endpoint Protection-pont
- Szolgáltatáskapcsolódási pont
- Tanúsítványregisztrációs pont
- Adattárház-szolgáltatási pont
A TLS 1.2 nagy léptékű engedélyezése az Automanage Machine Configuration és az Azure Arc használatával
Automatikusan konfigurálja a TLS 1.2-t az ügyfél és a kiszolgáló között az Azure-ban, a helyszíni vagy többfelhős környezetekben futó gépekhez. A TLS 1.2 gépek közötti konfigurálásának megkezdéséhez csatlakoztassa őket az Azure-hoz az Azure Arc-kompatibilis kiszolgálók használatával, amelyek alapértelmezés szerint a Gépkonfiguráció előfeltételt is magukban foglalja. A csatlakozás után a TLS 1.2 egyszerűen konfigurálható, ha telepíti a beépített szabályzatdefiníciót az Azure Portalon: Biztonságos kommunikációs protokollok (TLS 1.1 vagy TLS 1.2) konfigurálása Windows-kiszolgálókon. A szabályzat hatóköre hozzárendelhető az előfizetés, az erőforráscsoport vagy a felügyeleti csoport szintjén, valamint kizárhat minden erőforrást a szabályzatdefinícióból.
A konfiguráció hozzárendelése után az erőforrások megfelelőségi állapota részletesen megtekinthető a Vendéghozzárendelések lapon, és az érintett erőforrások hatókörének meghatározásával.
Részletes, részletes oktatóanyagért lásd: KiszolgálóI TLS-protokoll következetes frissítése az Azure Arc és az Automanage machine configuration használatával.
Windows Server Update Services frissítése (WSUS)
A TLS 1.2 támogatásához a WSUS korábbi verzióiban telepítse a következő frissítést a WSUS-kiszolgálóra:
A Windows Server 2012 futó WSUS-kiszolgáló esetén telepítse a frissítési 4022721 vagy egy újabb kumulatív frissítést.
Windows Server 2012 R2-t futtató WSUS-kiszolgáló esetén telepítse a frissítési 4022720 vagy egy újabb kumulatív frissítést.
A Windows Server 2016-től kezdődően a WSUS alapértelmezés szerint támogatja a TLS 1.2-t. A TLS 1.2-frissítésekre csak Windows Server 2012 és Windows Server 2012 R2 WSUS-kiszolgálókon van szükség.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: