Включение TLS 1.2 на клиентах

Область применения: Configuration Manager (Current Branch)

При включении TLS 1.2 для среды Configuration Manager сначала убедитесь, что клиенты поддерживают TLS 1.2 и правильно настроены для использования этого протокола, прежде чем включать TLS 1.2 и отключать старые протоколы на серверах сайта и удаленных системах сайта. Необходимо выполнить три действия, чтобы включить TLS 1.2 на клиентах:

  • Обновление Windows и WinHTTP
  • Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы
  • Обновите и настройте .NET Framework для поддержки TLS 1.2

Дополнительные сведения о зависимостях для конкретных компонентов и сценариев Configuration Manager см. в разделе о включении TLS 1.2.

Обновление Windows и WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 и более поздние версии Windows изначально поддерживают TLS 1.2 для обмена данными между клиентом и сервером через WinHTTP.

В ранних версиях Windows, например Windows 7 или Windows Server 2012, протокол TLS 1.1 или 1.2 не включен по умолчанию для безопасного обмена данными с помощью WinHTTP. Для этих более ранних версий Windows установите обновление 3140245, чтобы включить значение реестра ниже, которое можно задать для добавления TLS 1.1 и 1.2 в список безопасных протоколов по умолчанию для WinHTTP. После установки исправления создайте следующие параметры реестра:

Важно!

Включите эти параметры на всех клиентах, использующих более ранние версии Windows, прежде, чем включить TLS 1.2 и отключить старые протоколы на серверах Configuration Manager. В противном случае вы можете непреднамеренно потерять связь с клиентами.

Проверьте значение параметра реестра DefaultSecureProtocols, например:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Если вы изменили это значение, перезагрузите компьютер.

В предыдущем примере для параметра WinHTTP DefaultSecureProtocols используется значение 0xAA0. В обновлении для включения TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows указано шестнадцатеричное значение для каждого протокола. По умолчанию в Windows используется значение 0x0A0, чтобы можно было включить SSL 3.0 и TLS 1.0 для WinHTTP. В примере выше сохраняются такие значения по умолчанию и также включаются TLS 1.1 и TLS 1.2 для WinHTTP. Такая конфигурация гарантирует, что изменение не нарушит работу приложений, которые все еще могут использовать SSL 3.0 или TLS 1.0. Вы можете использовать значение 0xA00, чтобы включить только TLS 1.1 и TLS 1.2. Configuration Manager поддерживает самый безопасный протокол, который согласовывается Windows для двух устройств.

Если вы хотите полностью отключить SSL 3.0 и TLS 1.0, сделайте это с помощью параметров для отключения протоколов SChannel в Windows. Подробные сведения см. в статье Ограничение использования определенных алгоритмов шифрования и протоколов в Schannel.dll.

Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы

Протокол TLS 1.2 включен по умолчанию, поэтому менять эти разделы не нужно. Вы можете внести изменения в Protocols, чтобы отключить протоколы TLS 1.0 и TLS 1.1 после того, как выполнили все другие инструкции в этой статье и убедились, что в среде работает только TLS 1.2.

Проверьте параметр подраздела реестра \SecurityProviders\SCHANNEL\Protocols, как описано в разделе Настройка безопасности в реестре Windows.

Обновите и настройте .NET Framework для поддержки TLS 1.2

Определение версии .NET

Сначала определите установленные версии .NET. Подробные сведения см. в статье Узнать, какие версии и пакеты обновления .NET Framework установлены на компьютере.

Установка обновлений .NET

Установите обновления .NET, чтобы можно было включить криптостойкость. Некоторые версии .NET Framework могут потребовать обновления, чтобы обеспечить поддержку криптостойкости. Руководствуйтесь следующим:

  • NET Framework 4.6.2 и более поздних версий поддерживает TLS 1.1 и TLS 1.2. Проверьте параметры реестра, но дополнительные изменения не требуются.

    Примечание

    Начиная с версии 2107, для серверов сайта, определенных систем сайта, клиентов и консоли Configuration Manager понадобится использовать Microsoft .NET Framework версии 4.6.2. Если это возможно в вашей среде, установите последнюю версию .NET — версию 4.8.

  • Обновите NET Framework 4.6 и более ранних версий, чтобы обеспечить поддержку TLS 1.1 и TLS 1.2. Подробные сведения см. в статье Версии и зависимости платформы .NET Framework.

  • Если вы используете .NET Framework 4.5.1 или 4.5.2 в Windows 8.1 или Windows Server 2012, важные обновления и подробные сведения можно найти в Центре загрузки.

Настройка криптостойкости

Настройте .NET Framework для поддержки криптостойкости. Задайте для параметра реестра SchUseStrongCrypto значение DWORD:00000001. Это приведет к отключению потока шифрования RC4 и потребует перезагрузки. Подробные сведения об этом параметре см. в статье Microsoft Security Advisory 296038 (Советы корпорации Майкрософт по безопасности 296038).

Обязательно задайте указанные ниже разделы реестра на всех компьютерах, которые обмениваются данными по сети с системой, где включен протокол TLS 1.2. Например, это могут быть клиенты Configuration Manager, роли удаленной системы сайта, которые не установлены на сервере сайта, и сам сервер сайта.

Для 32-разрядных приложений, которые выполняются в 32-разрядных ОС, или 64-разрядных приложений, которые выполняются в 64-разрядных ОС, обновите следующее значение подраздела:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Для 32-разрядных приложений, которые выполняются в 64-разрядных ОС, обновите следующее значение подраздела:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Примечание

Параметр SchUseStrongCrypto позволяет .NET использовать TLS 1.1 и TLS 1.2. Параметр SystemDefaultTlsVersions позволяет .NET использовать конфигурацию ОС. Подробные сведения см. в статье Рекомендации по использованию протокола TLS с .NET Framework.

Дальнейшие действия