Como habilitar o TLS 1.2
Aplica-se a: Configuration Manager (Branch Atual)
Transport Layer Security (TLS), como Secure Sockets Layer (SSL), é um protocolo de criptografia destinado a manter os dados seguros ao serem transferidos por uma rede. Estes artigos descrevem as etapas necessárias para garantir que a comunicação segura do Configuration Manager use o protocolo TLS 1.2. Esses artigos também descrevem os requisitos de atualização para componentes comumente usados e a solução de problemas comuns.
Habilitando o TLS 1.2
O Configuration Manager depende de muitos componentes diferentes para comunicação segura. O protocolo usado para uma determinada conexão depende dos recursos dos componentes relevantes no lado do cliente e do servidor. Se algum componente estiver desfasado ou não estiver configurado corretamente, a comunicação poderá usar um protocolo mais antigo e menos seguro. Para habilitar corretamente o Configuration Manager para dar suporte ao TLS 1.2 para todas as comunicações seguras, você deve habilitar o TLS 1.2 para todos os componentes necessários. Os componentes necessários dependem do seu ambiente e dos recursos do Configuration Manager que você usa.
Importante
Inicie esse processo com os clientes, especialmente versões anteriores Windows. Antes de ativar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores do Configuration Manager, certifique-se de que todos os clientes suportam o TLS 1.2. Caso contrário, os clientes não podem se comunicar com os servidores e podem ficar órfãos.
Tarefas para clientes do Configuration Manager, servidores de site e sistemas de sites remotos
Para habilitar o TLS 1.2 para componentes dos que o Configuration Manager depende para comunicação segura, você precisará realizar várias tarefas nos clientes e nos servidores de site.
Habilitar o TLS 1.2 para clientes do Configuration Manager
- Atualizar Windows e WinHTTP no Windows 8.0, Windows Server 2012 (não-R2) e anteriores
- Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
- Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2
Habilitar o TLS 1.2 para servidores de site do Configuration Manager e sistemas de site remotos
- Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
- Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2
- Atualizar SQL Server e o SQL Server Native Client
- Atualização Windows Server Update Services (WSUS)
Recursos e dependências de cenário
Esta seção descreve as dependências de recursos e cenários específicos do Configuration Manager. Para determinar as próximas etapas, localize os itens que se aplicam ao seu ambiente.
| Recurso ou cenário | Atualizar tarefas |
|---|---|
| Servidores de site (central, primário ou secundário) | - Atualizar .NET Framework - Verificar configurações de criptografia forte |
| Servidor de banco de dados de site | Atualizar SQL Server e seus componentes do cliente |
| Servidores de sites secundários | Atualizar SQL Server e seus componentes cliente para uma versão compatível do SQL Server Express |
| Funções do sistema de site | - Atualizar .NET Framework e verificar configurações de criptografia fortes - Atualize SQL Server e seus componentes de cliente em funções que o exigem, incluindo o SQL Server Native Client |
| Ponto de serviços de relatório | - Atualizar .NET Framework no servidor do site, nos servidores SQL Server Reporting Services e em qualquer computador com o console - Reinicie o serviço SMS_Executive conforme necessário |
| Ponto de atualização de software | Atualizar o WSUS |
| Gateway de gerenciamento de nuvem | Impor o TLS 1.2 |
| Console do Configuration Manager | - Atualizar .NET Framework - Verificar configurações de criptografia forte |
| Cliente do Configuration Manager com funções de sistema de site HTTPS | Atualizar Windows para dar suporte ao TLS 1.2 para comunicações cliente-servidor usando WinHTTP |
| Centro de Software | - Atualizar .NET Framework - Verificar configurações de criptografia forte |
| Windows 7 clientes | Antes de habilitar o TLS 1.2 em todos os componentes do servidor, atualize o Windows para dar suporte ao TLS 1.2para comunicações entre cliente e servidor usando WinHTTP . Se você habilitar o TLS 1.2 em componentes de servidor primeiro, poderá órfão versões anteriores dos clientes. |
Perguntas frequentes
Por que usar o TLS 1.2 com o Configuration Manager?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Essencialmente, o TLS 1.2 mantém os dados transferidos pela rede mais seguros.
Onde o Configuration Manager usa protocolos de criptografia como o TLS 1.2?
Há basicamente cinco áreas que o Configuration Manager usa protocolos de criptografia como o TLS 1.2:
- Comunicações do cliente com funções de servidor de site baseadas no IIS quando a função está configurada para usar HTTPS. Exemplos dessas funções incluem pontos de distribuição, pontos de atualização de software e pontos de gerenciamento.
- Ponto de gerenciamento, SMS Executive e comunicações do Provedor de SMS com SQL. O Configuration Manager sempre criptografa SQL Server comunicações.
- Servidor de Site para comunicações WSUS se o WSUS estiver configurado para usar HTTPS.
- O console do Configuration Manager SQL Server Reporting Services (SSRS) se O SSRS estiver configurado para usar HTTPS.
- Quaisquer conexões com serviços baseados na Internet. Os exemplos incluem o cmg (gateway de gerenciamento de nuvem), a sincronização do ponto de conexão de serviço e a sincronização de metadados de atualização do Microsoft Update.
O que determina qual protocolo de criptografia é usado?
HTTPS sempre negociará a versão mais alta do protocolo que é suportada pelo cliente e pelo servidor em uma conversa criptografada. Ao estabelecer uma conexão, o cliente envia uma mensagem para o servidor com seu protocolo disponível mais alto. Se o servidor for compatível com a mesma versão, ele enviará uma mensagem usando essa versão. Esta versão negociada é a que é usada para a conexão. Se o servidor não suportar a versão apresentada pelo cliente, a mensagem do servidor especificará a versão mais alta que ele pode usar. Para obter mais informações sobre o protocolo de Handshake TLS, consulte Establishing a Secure Session by using TLS.
O que determina qual versão de protocolo o cliente e o servidor podem usar?
Geralmente, os itens a seguir podem determinar qual versão de protocolo é usada:
- O aplicativo pode ditar quais versões de protocolo específicas negociar.
- As práticas práticas práticas determinam para evitar a codificação de versões de protocolo específicas no nível do aplicativo e para seguir a configuração definida no nível do componente e do protocolo do sistema operacional.
- O Configuration Manager segue essa prática.
- Para aplicativos escritos usando o .NET Framework, as versões padrão do protocolo dependem da versão da estrutura em que foram compiladas.
- As versões do .NET antes de 4.6.3 não incluíam o TLS 1.1 e 1.2 na lista de protocolos para negociação, por padrão.
- Os aplicativos que usam WinHTTP para comunicações HTTPS, como o cliente do Configuration Manager, dependem da versão do sistema operacional, do nível de patch e da configuração do suporte à versão do protocolo.
Recursos adicionais
- Referência técnica de controles criptográficos
- Práticas recomendadas de segurança de camada de transporte (TLS) com o .NET Framework
- KB 3135244: suporte a TLS 1.2 para Microsoft SQL Server