Jak włączyć protokół TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji
Dotyczy: Configuration Manager (bieżąca gałąź)
Podczas włączania protokołu TLS 1.2 dla środowiska Configuration Manager najpierw należy włączyć protokół TLS 1.2 dla klientów. Następnie włącz protokół TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji na drugim miejscu. Na koniec przetestuj komunikację klienta z systemem lokacji przed potencjalnie wyłączeniem starszych protokołów po stronie serwera. Do włączenia protokołu TLS 1.2 na serwerach lokacji i zdalnych systemach lokacji potrzebne są następujące zadania:
- Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego
- Aktualizowanie i konfigurowanie .NET Framework do obsługi protokołu TLS 1.2
- Aktualizowanie składników SQL Server i klienta
- Aktualizowanie Windows Server Update Services (WSUS)
Aby uzyskać więcej informacji na temat zależności dla określonych funkcji i scenariuszy Configuration Manager, zobacz Informacje o włączaniu protokołu TLS 1.2.
Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego
W większości przypadków użycie protokołu jest kontrolowane na trzech poziomach, na poziomie systemu operacyjnego, na poziomie platformy lub platformy oraz na poziomie aplikacji. Protokół TLS 1.2 jest domyślnie włączony na poziomie systemu operacyjnego. Po upewnieniu się, że wartości rejestru platformy .NET są ustawione tak, aby włączyć protokół TLS 1.2 i sprawdzić, czy środowisko prawidłowo korzysta z protokołu TLS 1.2 w sieci, możesz edytować SChannel\Protocols klucz rejestru, aby wyłączyć starsze, mniej bezpieczne protokoły. Aby uzyskać więcej informacji na temat wyłączania protokołów TLS 1.0 i 1.1, zobacz Konfigurowanie protokołów Schannel w rejestrze systemu Windows.
Aktualizowanie i konfigurowanie .NET Framework do obsługi protokołu TLS 1.2
Określanie wersji platformy .NET
Najpierw określ zainstalowane wersje platformy .NET. Aby uzyskać więcej informacji, zobacz artykuł Określanie, które wersje i poziomy dodatku Service Pack struktury oprogramowania .NET Framework są zainstalowane.
Zainstaluj aktualizacje platformy .NET.
Zainstaluj aktualizacje platformy .NET, aby umożliwić silną kryptografię. Niektóre wersje .NET Framework mogą wymagać aktualizacji w celu włączenia silnej kryptografii. Należy zastosować się do następujących wytycznych:
Program NET Framework 4.6.2 lub nowszy obsługuje protokoły TLS 1.1 i TLS 1.2. Potwierdź ustawienia rejestru, ale nie są wymagane żadne dodatkowe zmiany.
Uwaga
Począwszy od wersji 2107, Configuration Manager wymaga programu Microsoft .NET Framework w wersji 4.6.2 dla serwerów lokacji, określonych systemów lokacji, klientów i konsoli. Jeśli to możliwe w środowisku, zainstaluj najnowszą wersję platformy .NET w wersji 4.8.
Zaktualizuj program NET Framework 4.6 i starsze wersje, aby obsługiwać protokoły TLS 1.1 i TLS 1.2. hhhb Aby uzyskać więcej informacji, zobacz .NET Framework wersje i zależności.
Jeśli używasz .NET Framework 4.5.1 lub 4.5.2 na Windows 8.1, Windows Server 2012 R2 lub Windows Server 2012, zdecydowanie zaleca się zainstalowanie najnowszych aktualizacji zabezpieczeń dla programu .Net Framework 4.5.1 i 4.5.2, aby zapewnić poprawne włączenie protokołu TLS 1.2.
Na potrzeby twojej dokumentacji protokół TLS 1.2 został po raz pierwszy wprowadzony do programu .Net Framework 4.5.1 i 4.5.2 z następującymi pakietami zbiorczymi poprawek:
- W przypadku Windows 8.1 i serwera 2012 R2: 3099842 zestawienia poprawek
- W przypadku Windows Server 2012: 3099844 zestawienia poprawek
Konfigurowanie pod kątem silnej kryptografii
Skonfiguruj .NET Framework do obsługi silnej kryptografii. SchUseStrongCrypto Ustaw ustawienie rejestru na wartość DWORD:00000001. Ta wartość wyłącza szyfrowanie strumienia RC4 i wymaga ponownego uruchomienia. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Microsoft Security Advisory 296038.
Pamiętaj, aby ustawić następujące klucze rejestru na dowolnym komputerze, który komunikuje się w sieci z systemem obsługującym protokół TLS 1.2. Na przykład Configuration Manager klientów, zdalnych ról systemu lokacji nie zainstalowanych na serwerze lokacji i samego serwera lokacji.
W przypadku aplikacji 32-bitowych działających w 32-bitowych systemach operacyjnych i w aplikacjach 64-bitowych działających w 64-bitowych systemach operacyjnych zaktualizuj następujące wartości podklucza:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Dla aplikacji 32-bitowych, które działają w systemach opartych 64-bitowych, zaktualizuj następującą wartość podklucza:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Uwaga
To SchUseStrongCrypto ustawienie umożliwia platformie .NET używanie protokołów TLS 1.1 i TLS 1.2. To SystemDefaultTlsVersions ustawienie umożliwia platformie .NET korzystanie z konfiguracji systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące protokołu TLS dotyczące .NET Framework.
Aktualizowanie składników SQL Server i klienta
Microsoft SQL Server 2016 i nowsze obsługują protokoły TLS 1.1 i TLS 1.2. Wcześniejsze wersje i biblioteki zależne mogą wymagać aktualizacji. Aby uzyskać więcej informacji, zobacz KB 3135244: Obsługa protokołu TLS 1.2 dla usługi Microsoft SQL Server.
Serwery lokacji dodatkowej muszą używać co najmniej SQL Server 2016 Express z dodatkiem Service Pack 2 (13.2.50.26) lub nowszym.
Klient natywny programu SQL Server
Uwaga
W artykule KB 3135244 opisano również wymagania dotyczące składników klienta SQL Server.
Należy również zaktualizować SQL Server Native Client do co najmniej wersji SQL Server 2012 SP4 (11.*.7001.0). To wymaganie jest sprawdzeniem wymagań wstępnych (ostrzeżenie).
Configuration Manager używa SQL Server Native Client w następujących rolach systemu lokacji:
- Serwer bazy danych lokacji
- Serwer lokacji: centralna lokacja administracyjna, lokacja główna lub lokacja dodatkowa
- Punkt zarządzania
- Punkt zarządzania urządzeniami
- Punkt migracji stanu
- Dostawca programu SMS
- Punkt aktualizacji oprogramowania
- Punkt dystrybucji z obsługą multiemisji
- Punkt usługi aktualizacji analizy zasobów
- Punkt usług raportowania
- Punkt rejestracji
- Punkt ochrony punktu końcowego
- Punkt połączenia z usługą
- Punkt rejestracji certyfikatu
- Punkt obsługi magazynu danych
Włączanie protokołu TLS 1.2 na dużą skalę przy użyciu konfiguracji maszyny automatycznego zarządzania i usługi Azure Arc
Automatycznie konfiguruje protokół TLS 1.2 na komputerze klienckim i serwerze dla maszyn działających na platformie Azure, w środowisku lokalnym lub w wielu chmurach. Aby rozpocząć konfigurowanie protokołu TLS 1.2 na maszynach, połącz je z platformą Azure przy użyciu serwerów z obsługą usługi Azure Arc, co jest domyślnie zgodne z wymaganiami wstępnymi konfiguracji maszyny. Po nawiązaniu połączenia protokół TLS 1.2 można skonfigurować z prostotą typu punkt-kliknięcie, wdrażając wbudowaną definicję zasad w witrynie Azure Portal: konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na serwerach z systemem Windows. Zakres zasad można przypisać na poziomie subskrypcji, grupy zasobów lub grupy zarządzania, a także wykluczyć wszystkie zasoby z definicji zasad.
Po przypisaniu konfiguracji stan zgodności zasobów można wyświetlić szczegółowo, przechodząc do strony Przypisania gościa i określając zakres zasobów, których dotyczy problem.
Aby zapoznać się ze szczegółowym samouczkiem krok po kroku, zobacz Spójne uaktualnianie protokołu TLS serwera przy użyciu usługi Azure Arc i konfiguracji maszyny do automatycznego zarządzania.
Aktualizowanie Windows Server Update Services (WSUS)
Aby obsługiwać protokół TLS 1.2 we wcześniejszych wersjach programu WSUS, zainstaluj następującą aktualizację na serwerze WSUS:
W przypadku serwera WSUS z systemem Windows Server 2012 zainstaluj aktualizację 4022721 lub nowszą aktualizację zbiorczą.
W przypadku serwera WSUS z systemem Windows Server 2012 R2 zainstaluj 4022720 aktualizacji lub nowszą aktualizację zbiorczą.
Począwszy od Windows Server 2016, protokół TLS 1.2 jest domyślnie obsługiwany dla programu WSUS. Aktualizacje protokołu TLS 1.2 są wymagane tylko na serwerach Windows Server 2012 i Windows Server 2012 R2 WSUS.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla