A TLS 1.2 engedélyezése
A következőkre vonatkozik: Configuration Manager (Aktuális ág)
A Transport Layer Security (TLS), például a Secure Sockets Layer (SSL) egy olyan titkosítási protokoll, amelynek célja az adatok védelme a hálózaton keresztüli átvitelkor. Ezek a cikkek a TLS 1.2 protokoll Configuration Manager biztonságos kommunikációjának biztosításához szükséges lépéseket ismertetik. Ezek a cikkek a gyakran használt összetevők frissítési követelményeit és a gyakori problémák elhárítását is ismertetik.
A TLS 1.2 engedélyezése
Configuration Manager számos különböző összetevőre támaszkodik a biztonságos kommunikáció érdekében. Az adott kapcsolathoz használt protokoll az ügyfél és a kiszolgálóoldal megfelelő összetevőinek képességeitől függ. Ha valamelyik összetevő elavult vagy nincs megfelelően konfigurálva, előfordulhat, hogy a kommunikáció egy régebbi, kevésbé biztonságos protokollt használ. Ahhoz, hogy a Configuration Manager megfelelően támogassa a TLS 1.2-t minden biztonságos kommunikációhoz, minden szükséges összetevő esetében engedélyeznie kell a TLS 1.2-t. A szükséges összetevők a környezettől és a használt Configuration Manager funkcióktól függenek.
Fontos
Indítsa el ezt a folyamatot az ügyfelekkel, különösen a Windows korábbi verzióival. Mielőtt engedélyezi a TLS 1.2-t, és letiltja a régebbi protokollokat a Configuration Manager-kiszolgálókon, győződjön meg arról, hogy minden ügyfél támogatja a TLS 1.2-t. Ellenkező esetben az ügyfelek nem tudnak kommunikálni a kiszolgálókkal, és árvaak lehetnek.
Feladatok Configuration Manager ügyfelekhez, helykiszolgálókhoz és távoli helyrendszerekhez
Ha engedélyezni szeretné a TLS 1.2-t olyan összetevőkhöz, amelyek Configuration Manager függenek a biztonságos kommunikációhoz, több feladatot kell elvégeznie mind az ügyfeleken, mind a helykiszolgálókon.
A TLS 1.2 engedélyezése Configuration Manager ügyfelek számára
- A Windows és a WinHTTP frissítése Windows 8.0-s, Windows Server 2012-es (nem R2) és korábbi verziókon
- Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
- A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
A TLS 1.2 engedélyezése Configuration Manager helykiszolgálókhoz és távoli helyrendszerekhez
- Győződjön meg arról, hogy a TLS 1.2 protokollként engedélyezve van az SChannelhez az operációs rendszer szintjén
- A .NET-keretrendszer frissítése és konfigurálása a TLS 1.2 támogatásához
- A SQL Server és a SQL Server Native Client frissítése
- Windows Server Update Services frissítése (WSUS)
Funkciók és forgatókönyvek függőségei
Ez a szakasz az adott Configuration Manager funkciók és forgatókönyvek függőségeit ismerteti. A következő lépések meghatározásához keresse meg a környezetre vonatkozó elemeket.
| Funkció vagy forgatókönyv | Tevékenységek frissítése |
|---|---|
| Helykiszolgálók (központi, elsődleges vagy másodlagos) | - .NET-keretrendszer frissítése – Ellenőrizze az erős titkosítási beállításokat |
| Helyadatbázis-kiszolgáló | SQL Server és ügyfélösszetevőinek frissítése |
| Másodlagos helykiszolgálók | Frissítse SQL Server és ügyfélösszetevőit a SQL Server Express megfelelő verziójára |
| Helyrendszerszerepkörök | - A .NET-keretrendszer frissítése és az erős titkosítási beállítások ellenőrzése - Frissítse SQL Server és ügyfélösszetevőit a szükséges szerepkörökre, beleértve a SQL Server Native Client |
| Jelentéskészítési szolgáltatási pont | - Frissítse a .NET-keretrendszer a helykiszolgálón, a SQL Server Reporting Services kiszolgálókon és a konzollal rendelkező számítógépeken – Szükség esetén indítsa újra a SMS_Executive szolgáltatást |
| Szoftverfrissítési pont | A WSUS frissítése |
| Felhőfelügyeleti átjáró | TLS 1.2 kényszerítése |
| Configuration Manager konzol | - .NET-keretrendszer frissítése – Ellenőrizze az erős titkosítási beállításokat |
| HTTPS-helyrendszerszerepkörökkel rendelkező ügyfél Configuration Manager | A Windows frissítése a TLS 1.2 támogatásához ügyfél-kiszolgáló kommunikációhoz a WinHTTP használatával |
| Szoftverközpont | - .NET-keretrendszer frissítése – Ellenőrizze az erős titkosítási beállításokat |
| Windows 7-ügyfelek | Mielőtt engedélyezi a TLS 1.2-t bármely kiszolgáló-összetevőn, frissítse a Windowst, hogy támogassa a TLS 1.2-t az ügyfél-kiszolgáló kommunikációhoz a WinHTTP használatával. Ha először engedélyezi a TLS 1.2-t a kiszolgáló összetevőin, árva lehet az ügyfelek korábbi verziói. |
Gyakori kérdések
Miért érdemes a TLS 1.2-t Configuration Manager használni?
A TLS 1.2 biztonságosabb, mint a korábbi titkosítási protokollok, például az SSL 2.0, az SSL 3.0, a TLS 1.0 és a TLS 1.1. A TLS 1.2 lényegében biztonságosabbá teszi az adatok átvitelét a hálózaton.
Hol használ Configuration Manager olyan titkosítási protokollokat, mint a TLS 1.2?
A Configuration Manager alapvetően öt olyan titkosítási protokollt használ, mint a TLS 1.2:
- IIS-alapú helykiszolgálói szerepkörökkel folytatott ügyfél-kommunikáció, ha a szerepkör https használatára van konfigurálva. Ilyen szerepkörök például a terjesztési pontok, a szoftverfrissítési pontok és a felügyeleti pontok.
- A felügyeleti pont, az SMS Executive és az SMS Provider kommunikációja az SQL-lel. Configuration Manager mindig titkosítja SQL Server kommunikációt.
- Helykiszolgáló és WSUS közötti kommunikáció, ha a WSUS HTTPS használatára van konfigurálva.
- Az Configuration Manager konzolt, SQL Server Reporting Services (SSRS), ha az SSRS HTTPS használatára van konfigurálva.
- Az internetalapú szolgáltatásokhoz való bármilyen kapcsolat. Ilyen például a felhőfelügyeleti átjáró (CMG), a szolgáltatáskapcsolódási pont szinkronizálása és a frissítési metaadatok szinkronizálása Microsoft Update szolgáltatásból.
Mi határozza meg a használt titkosítási protokollt?
A HTTPS mindig a legmagasabb protokollverziót egyezteti, amelyet az ügyfél és a kiszolgáló is támogat egy titkosított beszélgetésben. A kapcsolat létrehozása után az ügyfél üzenetet küld a kiszolgálónak a legmagasabb rendelkezésre álló protokollal. Ha a kiszolgáló ugyanazt a verziót támogatja, üzenetet küld ezzel a verzióval. Ez a egyeztetett verzió a kapcsolathoz használt verzió. Ha a kiszolgáló nem támogatja az ügyfél által bemutatott verziót, a kiszolgáló üzenete adja meg a legmagasabban használható verziót. További információ a TLS kézfogási protokollról: Biztonságos munkamenet létrehozása A TLS használatával.
Mi határozza meg, hogy az ügyfél és a kiszolgáló melyik protokollverziót használhatja?
Általában a következő elemek határozzák meg, hogy melyik protokollverziót használják:
- Az alkalmazás megszabhatja, hogy mely protokollverziókat kell egyeztetni.
- Az ajánlott eljárás azt diktálja, hogy az alkalmazás szintjén ne kelljen szigorú kódolást végezni bizonyos protokollverziókon, és követni az összetevő és az operációs rendszer protokollszintjén meghatározott konfigurációt.
- Configuration Manager ezt az ajánlott eljárást követi.
- Az .NET-keretrendszer használatával írt alkalmazások esetében az alapértelmezett protokollverziók a keretrendszer azon verziójától függenek, amely alapján lefordították őket.
- A 4.6.3 előtti .NET-verziók alapértelmezés szerint nem tartalmazzák a TLS 1.1-et és az 1.2-t a tárgyalási protokollok listájában.
- A WinHTTP-t HTTPS-kommunikációhoz használó alkalmazások, például a Configuration Manager-ügyfél, az operációs rendszer verziójától, a javítás szintjétől és a protokollverzió támogatásának konfigurációjától függenek.
További források
- Kriptográfiai vezérlők műszaki útmutatója
- A Transport Layer Security (TLS) ajánlott eljárásai a .NET-keretrendszer
- KB 3135244: A TLS 1.2 támogatása Microsoft SQL Server
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: