A Transport Layer Security 1.2 implementálása

  • Cikk

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

Ez a cikk azt ismerteti, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját egy System Center Operations Manager felügyeleti csoport számára.

Megjegyzés

Az Operations Manager az operációs rendszer szintjén konfigurált protokollt fogja használni. Ha például a TLS 1.0, a TLS 1.1 és a TLS 1.2 engedélyezve van az operációs rendszer szintjén, akkor az Operations Manager a következő sorrendben választja ki a három protokoll egyikét:

  1. TLS 1.2-es verzió
  2. TLS 1.1-es verzió
  3. TLS 1.0-s verzió

Az Schannel SSP ezután kiválasztja az ügyfél és a kiszolgáló által támogatott legkedveltebb hitelesítési protokollt.

A TLS protokoll 1.2-es verziójának engedélyezéséhez hajtsa végre a következő lépéseket:

Megjegyzés

A Microsoft OLE DB Driver 18 for SQL Server (ajánlott) az Operations Manager 2016 UR9 és újabb verziói támogatják.

  1. Telepítse SQL Server 2012 natív ügyfél 11.0-s verzióját vagy a Microsoft OLE DB Driver 18-et SQL Server minden felügyeleti kiszolgálóra és a webkonzol-kiszolgálóra.
  2. Telepítse .NET-keretrendszer 4.6-ot az összes felügyeleti kiszolgálóra, átjárókiszolgálóra, webkonzol-kiszolgálóra, valamint az Operations Manager-adatbázisokat és jelentéskészítő kiszolgálói szerepkört futtató SQL Server.
  3. Telepítse a TLS 1.2-t támogató kötelező SQL Server frissítést.
  4. Telepítse az ODBC 11.0-t vagy az ODBC 13.0-t az összes felügyeleti kiszolgálóra.
  5. A System Center 2016 – Operations Manager esetében telepítse a 4. kumulatív frissítést vagy újabb verziót.
  6. Konfigurálja a Windowst úgy, hogy csak a TLS 1.2-t használja.
  7. Konfigurálja az Operations Managert úgy, hogy csak a TLS 1.2-t használja.
  1. Telepítse a Microsoft OLE DB Driver 18.2-es és 18.6.7-es vagy újabb verzióját az összes felügyeleti kiszolgálóra és a webkonzol-kiszolgálóra.
  2. Telepítse .NET-keretrendszer 4.6-ot az összes felügyeleti kiszolgálóra, átjárókiszolgálóra, webkonzol-kiszolgálóra, valamint az Operations Manager-adatbázisokat és jelentéskészítő kiszolgálói szerepkört futtató SQL Server.
  3. Telepítse a TLS 1.2-t támogató kötelező SQL Server frissítést.
  4. Telepítse az ODBC-illesztőprogram 17.3-es és 17.10.5-ös vagy újabb verzióját az összes felügyeleti kiszolgálón.
  5. Konfigurálja a Windowst úgy, hogy csak a TLS 1.2-t használja.
  6. Konfigurálja az Operations Managert úgy, hogy csak a TLS 1.2-t használja.

Az Operations Manager SHA1 és SHA2 önaláírt tanúsítványokat hoz létre. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.

Megjegyzés

Ha a biztonsági házirendek korlátozzák a TLS 1.0-s és 1.1-et, egy új Operations Manager 2016 felügyeleti kiszolgáló, átjárókiszolgáló, webkonzol és Reporting Services szerepkör telepítése sikertelen lesz, mert a beállítási adathordozó nem tartalmazza a TLS 1.2-t támogató frissítéseket. Ezeket a szerepköröket csak úgy telepítheti, ha engedélyezi a TLS 1.0-t a rendszeren, alkalmazza a 4. kumulatív frissítést, majd engedélyezze a TLS 1.2-t a rendszeren. Ez a korlátozás nem vonatkozik az Operations Manager 1801-es verziójára.

A Windows operációs rendszer konfigurálása csak a TLS 1.2 protokoll használatára

Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.

1. módszer: A beállításjegyzék manuális módosítása

Fontos

Pontosan kövesse az ebben a szakaszban szereplő lépéseket. A beállításjegyzék nem megfelelő módosítása súlyos hibákat okozhat. Mielőtt módosítaná, készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha problémák merülnének fel.

Az alábbi lépésekkel engedélyezheti vagy tilthatja le az összes SCHANNEL protokollt. Javasoljuk, hogy minden bejövő és kimenő kommunikációhoz engedélyezze a TLS 1.2 protokollt.

Megjegyzés

A beállításjegyzék módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.

  1. Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.

  2. Indítsa el a Beállításjegyzék Szerkesztő a Start gomb kiválasztásával és lenyomásával, írja be a regedit kifejezést a Futtatás szövegmezőbe, és válassza az OK gombot.

  3. Keresse meg a következő beállításjegyzék-alkulcsot: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. Hozzon létre egy alkulcsot az SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 és TLS 1.2protokollok alatt.

  5. Hozzon létre egy ügyfél - és kiszolgálóalkulcsot a korábban létrehozott protokollverzió-alkulcsok alatt. A TLS 1.0 alkulcsa például és HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client

  6. Az egyes protokollok letiltásához hozza létre a következő DWORD-értékeket a Kiszolgáló és ügyfél területen:

    • Engedélyezve [Érték = 0]
    • DisabledByDefault [Érték = 1]

  7. A TLS 1.2 protokoll engedélyezéséhez hozza létre a következő DWORD-értékeket a és HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ServeralattHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client:

    • Engedélyezve [Érték = 1]
    • DisabledByDefault [Value = 0]

  8. Zárja be a beállításszerkesztőt.

2. módszer: A beállításjegyzék automatikus módosítása

Futtassa a következő Windows PowerShell szkriptet rendszergazdaként a Windows operációs rendszer automatikus konfigurálásához úgy, hogy csak a TLS 1.2 protokollt használja:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Az Operations Manager konfigurálása csak a TLS 1.2 használatára

Miután elvégezte az Operations Manager összes előfeltételének konfigurálását, hajtsa végre a következő lépéseket az összes felügyeleti kiszolgálón, a webkonzolszerepkört futtató kiszolgálón, valamint minden Olyan Windows-számítógépen, amelyen az ügynök telepítve van.

Fontos

Pontosan kövesse az ebben a szakaszban szereplő lépéseket. A beállításjegyzék nem megfelelő módosítása súlyos hibákat okozhat. Mielőtt bármilyen módosítást végezne, készítsen biztonsági másolatot a beállításjegyzékről a visszaállításhoz, ha problémák merülnek fel.

Megjegyzés

A Windows OS 2012-ben futó SCOM 2012 R2 további módosításokat igényel a TLS 1.2 HTTP-n keresztüli használatához UNIX/LINUX monitorozáshoz. Ahhoz, hogy a TLS 1.2 alapértelmezett biztonsági protokollként engedélyezhető legyen a Windows WinHTTP-ban, a következő módosításokat kell végrehajtani a Frissítés szerint ahhoz, hogy a TLS 1.1 és a TLS 1.2 legyen alapértelmezett biztonságos protokoll a Windows WinHTTP-ban.

  1. Telepítse KB3140245 a UNIX/LINUX erőforráskészlet felügyeleti kiszolgálóira/átjáróira.
  2. Biztonsági másolatot készít a tudásbáziscikkben említett módon módosított regisztrációs adatbázisokról.
  3. Töltse le és futtassa az Easy Fix eszközt a UNIX/LINUX erőforráskészlet felügyeleti kiszolgálóin/átjáróin.
  4. Indítsa újra a kiszolgálókat.

A beállításjegyzék manuális módosítása

  1. Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.
  2. Indítsa el a Beállításjegyzék Szerkesztő a Start gombot lenyomva, írja be a regedit kifejezést a Futtatás szövegmezőbe, majd kattintson az OK gombra.
  3. Keresse meg a következő beállításjegyzék-alkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Hozza létre a SchUseStrongCrypto DWORD értéket az alkulcs alatt 1 értékkel.
  5. Keresse meg a következő beállításjegyzék-alkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Hozza létre a SchUseStrongCrypto DWORD értéket az alkulcs alatt 1 értékkel.
  7. A beállítások érvénybe léptetéséhez indítsa újra a rendszert.

A beállításjegyzék automatikus módosítása

Futtassa a következő Windows PowerShell szkriptet rendszergazdai módban az Operations Manager automatikus konfigurálásához úgy, hogy csak a TLS 1.2 protokollt használja:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

További beállítások

Ha ezt a System Center 2016 – Operations Managerhez implementálják, a 4. kumulatív frissítés alkalmazása után importálja a kumulatív frissítés részét képező felügyeleti csomagokat a következő könyvtárban: \Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.

Ha a Linux-kiszolgáló támogatott verzióját figyeli az Operations Managerrel, kövesse a disztribúció megfelelő webhelyén található utasításokat a TLS 1.2 konfigurálásához.

Naplózási szolgáltatások

A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania az ACS Collector-kiszolgálón található beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.

  1. Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.

  2. Indítsa el a Beállításjegyzék Szerkesztő a Start gomb kiválasztásával és lenyomásával, írja be a regedit kifejezést a Futtatás szövegmezőbe, és válassza az OK gombot.

  3. Keresse meg az OpsMgrAC következő ODBC-alkulcsát: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Megjegyzés

    A DSN alapértelmezett neve az OpsMgrAC.

  4. Az ODBC-adatforrások alkulcs alatt válassza ki az OpsMgrAC DSN-nevet. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet ODBC Driver 11 for SQL Server vagy ha ODBC 13.0 van telepítve, módosítsa ezt a nevet ODBC Driver 13 for SQL Server.

  5. Az OpsMgrAC alkulcs alatt frissítse a telepített ODBC-verzió illesztőprogramját .

    • Ha az ODBC 11.0 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre: %WINDIR%\system32\msodbcsql11.dll.
    • Ha az ODBC 13.0 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre: %WINDIR%\system32\msodbcsql13.dll.

    Beállításfájl

    Másik lehetőségként hozza létre és mentse a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.

    • ODBC 11.0 esetén hozza létre a következő ODBC-11.reg fájlt:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 11 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql11.dll"

    • ODBC 13.0 esetén hozza létre a következő ODBC-13.reg fájlt:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 13 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql13.dll"

    PowerShell

    Másik lehetőségként a következő PowerShell-parancsokat futtatva automatizálhatja a módosítást.

    • ODBC 11.0 esetén futtassa a következő PowerShell-parancsokat:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null

    • ODBC 13.0 esetén futtassa a következő PowerShell-parancsokat:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null

Naplózási szolgáltatások

A Naplózási szolgáltatások (ACS) esetében további módosításokat kell végeznie az ACS Collector-kiszolgálón található beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.

  1. Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.

  2. Indítsa el a Beállításjegyzék Szerkesztő a Start gomb kiválasztásával és megtartásával, írja be a regedit kifejezést a Futtatás szövegmezőbe, és válassza az OK gombot.

  3. Keresse meg az OpsMgrAC következő ODBC alkulcsát: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Megjegyzés

    A DSN alapértelmezett neve az OpsMgrAC.

  4. Az ODBC adatforrások alkulcsában válassza ki az OpsMgrAC DSN-nevet. Ez tartalmazza az adatbázis-kapcsolathoz használni kívánt ODBC-illesztő nevét. Ha telepítve van az ODBC 17, módosítsa ezt a nevet ODBC Driver 17 for SQL Server.

  5. Az OpsMgrAC alkulcs alatt frissítse a telepített ODBC-verzió illesztőprogramját .

    • Ha az ODBC 17 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre: %WINDIR%\system32\msodbcsql17.dll.

    Beállításfájl

    Másik lehetőségként hozza létre és mentse a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.

    • ODBC 17 esetén hozza létre a következő ODBC 17.reg fájlt:

      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 17 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql17.dll"

    PowerShell

    Másik lehetőségként a következő PowerShell-parancsokat futtatva automatizálhatja a módosítást.

    • ODBC 17 esetén futtassa a következő PowerShell-parancsokat:

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null

Következő lépések