Como habilitar o TLS 1.2 em clientesHow to enable TLS 1.2 on clients

Aplica-se a: Configuration Manager (Branch Atual)Applies to: Configuration Manager (Current Branch)

Ao habilitar o TLS 1.2 para seu ambiente do Configuration Manager, comece verificando se os clientes são compatíveis com o TLS 1.2 e estão configurados corretamente para usá-lo antes de habilitar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores do site e nos sistemas de sites remotos.When enabling TLS 1.2 for your Configuration Manager environment, start by ensuring the clients are capable and properly configured to use TLS 1.2 before enabling TLS 1.2 and disabling the older protocols on the site servers and remote site systems. Há três tarefas para habilitar o TLS 1.2 em clientes:There are three tasks for enabling TLS 1.2 on clients:

  • Atualizar Windows e WinHTTPUpdate Windows and WinHTTP
  • Verificar se o TLS 1.2 está habilitado como um protocolo para o schannel no nível do sistema operacionalEnsure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level
  • Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2Update and configure the .NET Framework to support TLS 1.2

Para obter mais informações sobre dependências de recursos e cenários específicos do Configuration Manager, confira Sobre como habilitar o TLS 1.2.For more information about dependencies for specific Configuration Manager features and scenarios, see About enabling TLS 1.2.

Atualizar o Windows e o WinHTTPUpdate Windows and WinHTTP

O Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 e versões posteriores do Windows oferecem suporte nativo ao TLS 1.2 para comunicações cliente-servidor através do WinHTTP.Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016, and later versions of Windows natively support TLS 1.2 for client-server communications over WinHTTP.

As versões anteriores do Windows, como o Windows 7 ou o Windows Server 2012, não habilitam o TLS 1.1 ou o TLS 1.2 por padrão para comunicação segura usando o WinHTTP.Earlier versions of Windows, such as Windows 7 or Windows Server 2012, don't enable TLS 1.1 or TLS 1.2 by default for secure communications using WinHTTP. Para essas versões anteriores do Windows, instale a Atualização 3140245 para habilitar o valor do Registro abaixo, que pode ser definido para adicionar o TLS 1.1 e o TLS 1.2 à lista de protocolos seguros padrão para o WinHTTP.For these earlier versions of Windows, install Update 3140245 to enable the registry value below, which can be set to add TLS 1.1 and TLS 1.2 to the default secure protocols list for WinHTTP. Com o patch instalado, crie os seguintes valores do Registro:With the patch installed, create the following registry values:

Importante

Habilite essas configurações em todos os clientes que executam versões anteriores do Windows antes de habilitar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores do Configuration Manager.Enable these settings on all clients running earlier versions of Windows before enabling TLS 1.2 and disabling the older protocols on the Configuration Manager servers. Caso contrário, você pode, sem querer, deixá-los órfãos.Otherwise, you can inadvertently orphan them.

Verifique se o valor da configuração do registro DefaultSecureProtocols, por exemplo:Verify the value of the DefaultSecureProtocols registry setting, for example:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Se você alterar esse valor, reinicie o computador.If you change this value, restart the computer.

O exemplo acima mostra o valor de 0xAA0 para a configuração DefaultSecureProtocols do WinHTTP.The example above shows the value of 0xAA0 for the WinHTTP DefaultSecureProtocols setting. KB 3140245: Atualização para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows lista o valor hexadecimal de cada protocolo.KB 3140245: Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows lists the hexadecimal value for each protocol. Por padrão, no Windows, esse valor é 0x0A0 para habilitar o SSL 3.0 e TLS 1.0 para WinHTTP.By default in Windows, this value is 0x0A0 to enable SSL 3.0 and TLS 1.0 for WinHTTP. O exemplo acima mantém esses padrões e também habilita o TLS 1.1 e TLS 1.2 para WinHTTP.The above example keeps these defaults, and also enables TLS 1.1 and TLS 1.2 for WinHTTP. Essa configuração garante que a alteração não interromperá outros aplicativos que ainda possam depender do SSL 3.0 ou TLS 1.0.This configuration ensures that the change doesn't break any other application that might still rely on SSL 3.0 or TLS 1.0. Você pode usar o valor de 0xA00 para habilitar somente o TLS 1.1 e o TLS 1.2.You can use the value of 0xA00 to only enable TLS 1.1 and TLS 1.2. O Configuration Manager oferece suporte ao protocolo mais seguro que o Windows negocia entre os dois dispositivos.Configuration Manager supports the most secure protocol that Windows negotiates between both devices.

Se você quiser desabilitar completamente o SSL 3.0 e o TLS 1.0, use a configuração de protocolo SChannel desabilitada no Windows.If you want to completely disable SSL 3.0 and TLS 1.0, use the SChannel disabled protocols setting in Windows. Para saber mais, confira Como restringir o uso de certos algoritmos de criptografia e protocolos no Schannel.dll.For more information, see How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll.

Verificar se o TLS 1.2 está habilitado como um protocolo para o schannel no nível do sistema operacionalEnsure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level

O TLS 1.2 fica habilitado por padrão.TLS 1.2 is enabled by default. Portanto, não é necessário fazer nenhuma alteração nessas chaves para habilitá-lo.Therefore, no change to these keys is needed to enable it. Você poderá fazer alterações nos Protocols para desabilitar o TLS 1.0 e o TLS 1.1 depois de seguir o restante das diretrizes destes artigos e verificar se o ambiente funciona quando apenas o TLS 1.2 é habilitado.You can make changes under Protocols to disable TLS 1.0 and TLS 1.1 after you've followed the rest of the guidance in these articles and you've verified that the environment works when only TLS 1.2 enabled.

Verifique a configuração de subchaves do registro de \SecurityProviders\SCHANNEL\Protocols, conforme mostrado nas melhores práticas de protocolo TLS com o .NET Framework.Verify the \SecurityProviders\SCHANNEL\Protocols registry subkey setting, as shown in Transport layer security (TLS) best practices with the .NET Framework.

Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2Update and configure the .NET Framework to support TLS 1.2

Determinar a versão do .NETDetermine .NET version

Primeiro, determine as versões do .NET instaladas.First, determine the installed .NET versions. Para saber mais, confira Como determinar quais versões e níveis de service pack do Microsoft .NET Framework estão instalados.For more information, see How to determine which versions and service pack levels of the Microsoft .NET Framework are installed.

Instalar atualizações do .NETInstall .NET updates

Instale as atualizações do .NET para habilitar a criptografia forte.Install the .NET updates so you can enable strong cryptography. Algumas versões do .NET Framework podem exigir atualizações para permitir uma criptografia forte.Some versions of .NET Framework might require updates to enable strong cryptography. Use estas diretrizes:Use these guidelines:

  • O .NET Framework 4.6.2 e versões posteriores são compatíveis com TLS 1.1 e TLS 1.2.NET Framework 4.6.2 and later supports TLS 1.1 and TLS 1.2. Confirme as configurações do registro, mas nenhuma outra alteração será necessária.Confirm the registry settings, but no additional changes are required.

  • Atualizar o .NET Framework 4.6 e versões anteriores para dar suporte a TLS 1.1 e TLS 1.2.Update NET Framework 4.6 and earlier versions to support TLS 1.1 and TLS 1.2. Para saber mais, confira Versões e dependências do .NET Framework.For more information, see .NET Framework versions and dependencies.

  • Se você estiver usando o .NET Framework 4.5.1 ou 4.5.2 no Windows 8.1 ou Windows Server 2012, os detalhes e atualizações relevantes também estarão disponíveis no Centro de Download.If you're using .NET Framework 4.5.1 or 4.5.2 on Windows 8.1 or Windows Server 2012, the relevant updates and details are also available from the Download Center.

Verificar a criptografia forteConfigure for strong cryptography

Configure o .NET Framework para dar suporte a uma criptografia forte.Configure .NET Framework to support strong cryptography. Defina a configuração do registro SchUseStrongCrypto para DWORD:00000001.Set the SchUseStrongCrypto registry setting to DWORD:00000001. Esse valor desabilita a codificação de fluxo RC4 e requer uma reinicialização.This value disables the RC4 stream cipher and requires a restart. Para saber mais sobre essa configuração, confira o Comunicado de Segurança da Microsoft 296038.For more information about this setting, see Microsoft Security Advisory 296038.

Defina as chaves de registro a seguir em todos os computadores que se comunicam pela rede que têm um sistema habilitado para TLS 1.2.Make sure to set the following registry keys on any computer that communicates across the network with a TLS 1.2-enabled system. Por exemplo, os clientes, as funções do sistema de sites remotos não instaladas no servidor do site e o próprio servidor do site do Configuration Manager.For example, Configuration Manager clients, remote site system roles not installed on the site server, and the site server itself.

Para aplicativos de 32 bits executados em sistemas operacionais de 32 bits ou aplicativos de 64 bits executados em sistemas operacionais de 64 bits, atualize os seguintes valores de subchaves:For 32-bit applications that are running on 32-bit OSs and for 64-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Para aplicativos de 32 bits executados em sistemas operacionais de 64 bits, atualize os seguintes valores de subchaves:For 32-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Observação

A configuração SchUseStrongCrypto permite que o .NET use o TLS 1.1 e TLS 1.2.The SchUseStrongCrypto setting allows .NET to use TLS 1.1 and TLS 1.2. A configuração SystemDefaultTlsVersions permite que o .NET use a configuração do sistema operacional.The SystemDefaultTlsVersions setting allows .NET to use the OS configuration. Para saber mais, confira Práticas recomendadas do TLS com o .NET Framework.For more information, see TLS best practices with the .NET Framework.

Próximas etapasNext steps