A Transport Layer Security 1.2 implementálása
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
Ez a cikk azt ismerteti, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját egy System Center Operations Manager felügyeleti csoport számára.
Megjegyzés
Az Operations Manager az operációs rendszer szintjén konfigurált protokollt fogja használni. Ha például a TLS 1.0, a TLS 1.1 és a TLS 1.2 engedélyezve van az operációs rendszer szintjén, akkor az Operations Manager a következő sorrendben választja ki a három protokoll egyikét:
- TLS 1.2-es verzió
- TLS 1.1-es verzió
- TLS 1.0-s verzió
Az Schannel SSP ezután kiválasztja az ügyfél és a kiszolgáló által támogatott legkedveltebb hitelesítési protokollt.
A TLS protokoll 1.2-es verziójának engedélyezéséhez hajtsa végre a következő lépéseket:
Megjegyzés
A Microsoft OLE DB Driver 18 for SQL Server (ajánlott) az Operations Manager 2016 UR9 és újabb verziói támogatják.
- Telepítse SQL Server 2012 natív ügyfél 11.0-s verzióját vagy a Microsoft OLE DB Driver 18-et SQL Server minden felügyeleti kiszolgálóra és a webkonzol-kiszolgálóra.
- Telepítse .NET-keretrendszer 4.6-ot az összes felügyeleti kiszolgálóra, átjárókiszolgálóra, webkonzol-kiszolgálóra, valamint az Operations Manager-adatbázisokat és jelentéskészítő kiszolgálói szerepkört futtató SQL Server.
- Telepítse a TLS 1.2-t támogató kötelező SQL Server frissítést.
- Telepítse az ODBC 11.0-t vagy az ODBC 13.0-t az összes felügyeleti kiszolgálóra.
- A System Center 2016 – Operations Manager esetében telepítse a 4. kumulatív frissítést vagy újabb verziót.
- Konfigurálja a Windowst úgy, hogy csak a TLS 1.2-t használja.
- Konfigurálja az Operations Managert úgy, hogy csak a TLS 1.2-t használja.
- Telepítse a Microsoft OLE DB Driver 18.2-es és 18.6.7-es vagy újabb verzióját az összes felügyeleti kiszolgálóra és a webkonzol-kiszolgálóra.
- Telepítse .NET-keretrendszer 4.6-ot az összes felügyeleti kiszolgálóra, átjárókiszolgálóra, webkonzol-kiszolgálóra, valamint az Operations Manager-adatbázisokat és jelentéskészítő kiszolgálói szerepkört futtató SQL Server.
- Telepítse a TLS 1.2-t támogató kötelező SQL Server frissítést.
- Telepítse az ODBC-illesztőprogram 17.3-es és 17.10.5-ös vagy újabb verzióját az összes felügyeleti kiszolgálón.
- Konfigurálja a Windowst úgy, hogy csak a TLS 1.2-t használja.
- Konfigurálja az Operations Managert úgy, hogy csak a TLS 1.2-t használja.
Az Operations Manager SHA1 és SHA2 önaláírt tanúsítványokat hoz létre. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.
Megjegyzés
Ha a biztonsági házirendek korlátozzák a TLS 1.0-s és 1.1-et, egy új Operations Manager 2016 felügyeleti kiszolgáló, átjárókiszolgáló, webkonzol és Reporting Services szerepkör telepítése sikertelen lesz, mert a beállítási adathordozó nem tartalmazza a TLS 1.2-t támogató frissítéseket. Ezeket a szerepköröket csak úgy telepítheti, ha engedélyezi a TLS 1.0-t a rendszeren, alkalmazza a 4. kumulatív frissítést, majd engedélyezze a TLS 1.2-t a rendszeren. Ez a korlátozás nem vonatkozik az Operations Manager 1801-es verziójára.
A Windows operációs rendszer konfigurálása csak a TLS 1.2 protokoll használatára
Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.
1. módszer: A beállításjegyzék manuális módosítása
Fontos
Pontosan kövesse az ebben a szakaszban szereplő lépéseket. A beállításjegyzék nem megfelelő módosítása súlyos hibákat okozhat. Mielőtt módosítaná, készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha problémák merülnének fel.
Az alábbi lépésekkel engedélyezheti vagy tilthatja le az összes SCHANNEL protokollt. Javasoljuk, hogy minden bejövő és kimenő kommunikációhoz engedélyezze a TLS 1.2 protokollt.
Megjegyzés
A beállításjegyzék módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.
Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.
Indítsa el a Beállításjegyzék Szerkesztő a Start gomb kiválasztásával és lenyomásával, írja be a regedit kifejezést a Futtatás szövegmezőbe, és válassza az OK gombot.
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
.Hozzon létre egy alkulcsot az SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 és TLS 1.2protokollok alatt.
Hozzon létre egy ügyfél - és kiszolgálóalkulcsot a korábban létrehozott protokollverzió-alkulcsok alatt. A TLS 1.0 alkulcsa például és
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
Az egyes protokollok letiltásához hozza létre a következő DWORD-értékeket a Kiszolgáló és ügyfél területen:
- Engedélyezve [Érték = 0]
- DisabledByDefault [Érték = 1]
A TLS 1.2 protokoll engedélyezéséhez hozza létre a következő DWORD-értékeket a és
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
alattHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
:- Engedélyezve [Érték = 1]
- DisabledByDefault [Value = 0]
Zárja be a beállításszerkesztőt.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell szkriptet rendszergazdaként a Windows operációs rendszer automatikus konfigurálásához úgy, hogy csak a TLS 1.2 protokollt használja:
$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList)
{
foreach ($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Output "Current Registry Path: `"$currentRegPath`""
if (!(Test-Path $currentRegPath))
{
Write-Output " `'$key`' not found: Creating new Registry Key"
New-Item -Path $currentRegPath -Force | out-Null
}
if ($Protocol -eq "TLS 1.2")
{
Write-Output " Enabling - TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Output " Disabling - $Protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
}
Write-Output " "
}
}
Az Operations Manager konfigurálása csak a TLS 1.2 használatára
Miután elvégezte az Operations Manager összes előfeltételének konfigurálását, hajtsa végre a következő lépéseket az összes felügyeleti kiszolgálón, a webkonzolszerepkört futtató kiszolgálón, valamint minden Olyan Windows-számítógépen, amelyen az ügynök telepítve van.
Fontos
Pontosan kövesse az ebben a szakaszban szereplő lépéseket. A beállításjegyzék nem megfelelő módosítása súlyos hibákat okozhat. Mielőtt bármilyen módosítást végezne, készítsen biztonsági másolatot a beállításjegyzékről a visszaállításhoz, ha problémák merülnek fel.
Megjegyzés
A Windows OS 2012-ben futó SCOM 2012 R2 további módosításokat igényel a TLS 1.2 HTTP-n keresztüli használatához UNIX/LINUX monitorozáshoz. Ahhoz, hogy a TLS 1.2 alapértelmezett biztonsági protokollként engedélyezhető legyen a Windows WinHTTP-ban, a következő módosításokat kell végrehajtani a Frissítés szerint ahhoz, hogy a TLS 1.1 és a TLS 1.2 legyen alapértelmezett biztonságos protokoll a Windows WinHTTP-ban.
- Telepítse KB3140245 a UNIX/LINUX erőforráskészlet felügyeleti kiszolgálóira/átjáróira.
- Biztonsági másolatot készít a tudásbáziscikkben említett módon módosított regisztrációs adatbázisokról.
- Töltse le és futtassa az Easy Fix eszközt a UNIX/LINUX erőforráskészlet felügyeleti kiszolgálóin/átjáróin.
- Indítsa újra a kiszolgálókat.
A beállításjegyzék manuális módosítása
- Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.
- Indítsa el a Beállításjegyzék Szerkesztő a Start gombot lenyomva, írja be a regedit kifejezést a Futtatás szövegmezőbe, majd kattintson az OK gombra.
- Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
. - Hozza létre a SchUseStrongCrypto DWORD értéket az alkulcs alatt 1 értékkel.
- Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
. - Hozza létre a SchUseStrongCrypto DWORD értéket az alkulcs alatt 1 értékkel.
- A beállítások érvénybe léptetéséhez indítsa újra a rendszert.
A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell szkriptet rendszergazdai módban az Operations Manager automatikus konfigurálásához úgy, hogy csak a TLS 1.2 protokollt használja:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
További beállítások
Ha ezt a System Center 2016 – Operations Managerhez implementálják, a 4. kumulatív frissítés alkalmazása után importálja a kumulatív frissítés részét képező felügyeleti csomagokat a következő könyvtárban: \Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.
Ha a Linux-kiszolgáló támogatott verzióját figyeli az Operations Managerrel, kövesse a disztribúció megfelelő webhelyén található utasításokat a TLS 1.2 konfigurálásához.
Naplózási szolgáltatások
A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania az ACS Collector-kiszolgálón található beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.
Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.
Indítsa el a Beállításjegyzék Szerkesztő a Start gomb kiválasztásával és lenyomásával, írja be a regedit kifejezést a Futtatás szövegmezőbe, és válassza az OK gombot.
Keresse meg az OpsMgrAC következő ODBC-alkulcsát:
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC
.Megjegyzés
A DSN alapértelmezett neve az OpsMgrAC.
Az ODBC-adatforrások alkulcs alatt válassza ki az OpsMgrAC DSN-nevet. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet ODBC Driver 11 for SQL Server vagy ha ODBC 13.0 van telepítve, módosítsa ezt a nevet ODBC Driver 13 for SQL Server.
Az OpsMgrAC alkulcs alatt frissítse a telepített ODBC-verzió illesztőprogramját .
- Ha az ODBC 11.0 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre:
%WINDIR%\system32\msodbcsql11.dll
. - Ha az ODBC 13.0 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre:
%WINDIR%\system32\msodbcsql13.dll
.
Beállításfájl
Másik lehetőségként hozza létre és mentse a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.
ODBC 11.0 esetén hozza létre a következő ODBC-11.reg fájlt:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\system32\msodbcsql11.dll"
ODBC 13.0 esetén hozza létre a következő ODBC-13.reg fájlt:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\system32\msodbcsql13.dll"
PowerShell
Másik lehetőségként a következő PowerShell-parancsokat futtatva automatizálhatja a módosítást.
ODBC 11.0 esetén futtassa a következő PowerShell-parancsokat:
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null
ODBC 13.0 esetén futtassa a következő PowerShell-parancsokat:
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null
- Ha az ODBC 11.0 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre:
Naplózási szolgáltatások
A Naplózási szolgáltatások (ACS) esetében további módosításokat kell végeznie az ACS Collector-kiszolgálón található beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.
Jelentkezzen be a kiszolgálóra egy helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal.
Indítsa el a Beállításjegyzék Szerkesztő a Start gomb kiválasztásával és megtartásával, írja be a regedit kifejezést a Futtatás szövegmezőbe, és válassza az OK gombot.
Keresse meg az OpsMgrAC következő ODBC alkulcsát:
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC
.Megjegyzés
A DSN alapértelmezett neve az OpsMgrAC.
Az ODBC adatforrások alkulcsában válassza ki az OpsMgrAC DSN-nevet. Ez tartalmazza az adatbázis-kapcsolathoz használni kívánt ODBC-illesztő nevét. Ha telepítve van az ODBC 17, módosítsa ezt a nevet ODBC Driver 17 for SQL Server.
Az OpsMgrAC alkulcs alatt frissítse a telepített ODBC-verzió illesztőprogramját .
- Ha az ODBC 17 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre:
%WINDIR%\system32\msodbcsql17.dll
.
Beállításfájl
Másik lehetőségként hozza létre és mentse a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.
ODBC 17 esetén hozza létre a következő ODBC 17.reg fájlt:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 17 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\system32\msodbcsql17.dll"
PowerShell
Másik lehetőségként a következő PowerShell-parancsokat futtatva automatizálhatja a módosítást.
ODBC 17 esetén futtassa a következő PowerShell-parancsokat:
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
- Ha az ODBC 17 telepítve van, módosítsa az Illesztőprogram bejegyzést a következőre:
Következő lépések
A rendszer által használt portok teljes listáját, a kommunikáció irányát, valamint azt, hogy mely portok módosíthatók, a következő dokumentum tartalmazza: Configuring a Firewall for Operations Manager (Tűzfal beállítása az Operations Managerhez).
A felügyeleti csoport összetevői közötti adatok védelmének általános áttekintéséért lásd: Hitelesítés és adattitkosítás az Operations Managerben.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: