Como habilitar o TLS 1.2 para o Configuration Manager

Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)

Ao habilitar o TLS 1.2 para seu ambiente do Gerenciador de Configurações, comece garantindo que os clientes sejam capazes e configurados corretamente para usar o TLS 1.2 antes de habilitar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores do site e nos sistemas de sites remotos. Há três tarefas para habilitar o TLS 1.2 em clientes:

  • Atualizar o Windows e o WinHTTP
  • Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
  • Atualize e configure o .NET Framework para dar suporte ao TLS 1.2

Para obter mais informações sobre dependências para recursos e cenários específicos do Gerenciador de Configurações, veja Sobre a habilitação TLS 1.2.

Atualizar Windows e WinHTTP

O Windows 8.1, o Windows Server 2012 R2, o Windows 10, o Windows Server 2016 e versões posteriores do Windows dão suporte nativo ao TLS 1.2 para comunicações cliente-servidor via WinHTTP.

Versões anteriores do Windows, como Windows 7 ou Windows Server 2012, não habilitam o TLS 1.1 ou o TLS 1.2 por padrão para comunicações seguras usando WinHTTP. Para estas versões anteriores do Windows, instale Update 3140245 para ativar o valor de registro abaixo, que pode ser definido para adicionar TLS 1.1 e TLS 1.2 à lista padrão de protocolos seguros para WinHTTP. Com o patch instalado, crie os seguintes valores do registro:

Importante

Habilite estas configurações em todos os clientes que executam versões anteriores do Windows antes de habilitar o TLS 1.2 e desativar os protocolos mais antigos nos servidores do Gerenciador de Configurações. Caso contrário, você poderá inadvertidamente órfãos.

Verifique o valor da DefaultSecureProtocols configuração do registro, por exemplo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Se você alterar esse valor, reinicie o computador.

O exemplo acima mostra o valor de 0xAA0 para a configuração winHTTP DefaultSecureProtocols. Atualize para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows lista o valor hexadecimal para cada protocolo. Por padrão, no Windows, esse valor é 0x0A0 para habilitar o SSL 3.0 e o TLS 1.0 para WinHTTP. O exemplo acima mantém esses padrões e também habilita o TLS 1.1 e o TLS 1.2 para WinHTTP. Essa configuração garante que a alteração não interrompa nenhum outro aplicativo que ainda possa depender do SSL 3.0 ou TLS 1.0. Você pode usar o valor de 0xA00 para habilitar apenas o TLS 1.1 e o TLS 1.2. Gerenciador de Configurações dá suporte ao protocolo mais seguro que o Windows negocia entre ambos os dispositivos.

Se você quiser desabilitar completamente o SSL 3.0 e o TLS 1.0, use a configuração de protocolos desabilitados do SChannel no Windows. Para mais informações, veja Restringir o uso de certos algoritmos e protocolos criptográficos em Schannel.dll.

Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional

O TLS 1.2 está habilitado por padrão. Portanto, nenhuma alteração nessas chaves é necessária para habilita-la. Você pode fazer alterações em para desabilitar Protocols o TLS 1.0 e o TLS 1.1 depois de seguir o restante das orientações nesses artigos e verificar se o ambiente funciona quando apenas o TLS 1.2 está habilitado.

Verifique a configuração da sub-chave do Registro, conforme mostrado nas práticas recomendadas de segurança da camada de transporte HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols (TLS) como .NET Framework .

Atualize e configure o .NET Framework para dar suporte ao TLS 1.2

Determinar a versão .NET

Primeiro, determine as versões instaladas do .NET. Para obter mais informações, consulte Determine which versions and service pack levels of .NET Framework are installed.

Instalar atualizações do .NET

Instale as atualizações do .NET para que você possa habilitar uma criptografia forte. Algumas versões do .NET Framework podem exigir atualizações para habilitar uma criptografia forte. Use estas diretrizes:

  • O NET Framework 4.6.2 e posterior oferece suporte a TLS 1.1 e TLS 1.2. Confirme as configurações do Registro, mas nenhuma alteração adicional é necessária.

    Observação

    A partir da versão 2107, o Configuration Manager requer o Microsoft .NET Framework versão 4.6.2 para servidores de site, sistemas de site específicos, clientes e o console. Se possível em seu ambiente, instale a versão mais recente do .NET versão 4.8.

  • Atualize o NET Framework 4.6 e versões anteriores para dar suporte ao TLS 1.1 e ao TLS 1.2. Para obter mais informações, consulte .NET Framework versões e dependências.

  • Se você estiver usando o .NET Framework 4.5.1 ou 4.5.2 no Windows 8.1, no Windows Server 2012 R2 ou no Windows Server 2012, é altamente recomendável instalar as atualizações de segurança mais recentes para o .Net Framework 4.5.1 e 4.5.2 para garantir que o TLS 1.2 possa ser habilitado corretamente.

    Para sua referência, o TLS 1.2 foi introduzido pela primeira vez no .Net Framework 4.5.1 e 4.5.2 com as seguintes rollups de hotfix:

Configurar para criptografia forte

Configure .NET Framework para dar suporte a criptografia forte. De definir SchUseStrongCrypto a configuração do Registro como DWORD:00000001 . Esse valor desabilita a codificação de fluxo RC4 e exige uma reinicialização. Para obter mais informações sobre essa configuração, consulte Microsoft Security Advisory 296038.

Certifique-se de definir as seguintes chaves do Registro em qualquer computador que se comunique na rede com um sistema habilitado para TLS 1.2. Por exemplo, clientes do Configuration Manager, funções do sistema de site remoto não instaladas no servidor do site e o próprio servidor do site.

Para aplicativos de 32 bits que estão sendo executados em OSs de 32 bits e para aplicativos de 64 bits que estão sendo executados em OSs de 64 bits, atualize os seguintes valores de sub-chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Para aplicativos de 32 bits que estão sendo executados em OSs de 64 bits, atualize os seguintes valores de sub-chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Observação

A SchUseStrongCrypto configuração permite que o .NET use o TLS 1.1 e o TLS 1.2. A SystemDefaultTlsVersions configuração permite que o .NET use a configuração do sistema operacional. Para obter mais informações, consulte Práticas recomendadas do TLS com o .NET Framework.

Próximas etapas