Отключение TLS 1.0/1.1 в Skype для бизнеса Server 2015

Эта статья поможет вам подготовиться и реализовать отключение TLS 1.0 и 1.1 в своих средах. Этот процесс требует тщательного планирования и подготовки. Внимательно изучите все сведения, приведенные в этой статье, при планировании отключения TLS 1.0 и 1.1 для вашей организации. Существует множество внешних зависимостей и условий подключения, на которые может повлиять отключение TLS 1.0/1.1, поэтому требуется тщательное планирование и тестирование.

• Фон и область
• Предварительные требования и процесс
• Расширенные сценарии развертывания

Фон и область

Основными драйверами для обеспечения поддержки TLS 1.0 и 1.1 для Skype для бизнеса Server локальной среды являются требования Совета по стандартам безопасности индустрии платежных карт (PCI) и федеральных стандартов обработки информации. Дополнительные сведения о требованиях PCI можно найти здесь. Корпорация Майкрософт не может предоставить рекомендации о том, обязана ли ваша организация соблюдать эти или другие требования. Необходимо определить, требуется ли для отключения TLS 1.0 и (или) 1.1 в ваших средах.

Корпорация Майкрософт подготовила технический документ по TLS, доступный здесь, и мы также рекомендуем ознакомиться с фоновым документом, доступным в этом блоге Exchange.

Область поддержки

Область относится к границам поддержки. Полностью протестированные и поддерживаемые означает, что мы полностью поддерживаем и протестировали отключение TLS 1.0 и 1.1 для перечисленных версий продуктов. В настоящее время расследование означает именно это; Мы активно изучаем возможность включения этих продуктов в область для отключения поддержки TLS. Из область означает, что эти версии продукта не поддерживают отключение TLS 1.0 или 1.1 и не будут работать с указанными исключениями.

Полностью протестированные и поддерживаемые серверы

• Skype для бизнеса Server 2019 CU1 17.0.2046.123 (июнь 2019 г.) или более поздней версии
• Skype для бизнеса Server 2015 CU9 6.0.9319.548 (май 2019 г.) или более поздней версии Windows Server 2012 (с обновлением базы знаний 3140245 или заменой), 2012 R2 или 2016.
• Обновление на месте Skype для бизнеса Server 2015 с накопительным пакетом обновления 9 6.0.9319.548 (май 2019 г.) или более поздней версии в Windows Server 2008 R2, 2012 (с kb 3140245 или заменяющим обновлением) или 2012 R2.
• Подключение к Exchange и Outlook Web App с Exchange Server 2010 с пакетом обновления 3 (SP3) RU19 или более поздней версии. Рекомендации здесь
• Устройство s survivable Branch Appliance (SBA) с Skype для бизнеса Server 2015 CU6 HF2 или более поздней версии (подтвердите у поставщика, что он упаковали соответствующие обновления и были доступны для вашего (модуль))
• Сервер живучего филиала (SBS) с Skype для бизнеса Server 2015 CU6 HF2 или более поздней версии
• Только для пограничных ролей Lync Server 2013 это связано с тем, что роль Edge не зависит от Windows Fabric 1.0.

Полностью протестированные и поддерживаемые клиенты

• Lync 2013 (Skype для бизнеса) Desktop Client, MSI и C2R, включая базовый 15.0.5023.1000 или более поздней версии
• Skype для бизнеса 2016 Desktop Client, MSI 16.0.4678.1000 или более поздней версии, включая Базовый
• Skype для бизнеса 2016 щелкните, чтобы запустить Требовать Обновления за апрель 2018 г.:
  • Monthly и Semi-Annual Targeted, 16.0.9126.2152 или более поздней версии
  • Semi-Annual и отложенный канал, 16.0.8431.2242 или более поздней версии
• Skype для бизнеса на Mac 16.15 или более поздней версии
• Skype для бизнеса для iOS и Android 6.19 или более поздней версии
• Комнаты Microsoft Teams (ранее известная как Система комнат Skype версии 2 SRS версии 2) 4.0.64.0 (декабрь 2018 г.) или более поздней версии
• Обновление Surface Hub для Выпуска Team на основе KB4499162 (май 2019 г., сборка ОС 15063.1835) или более поздней версии
• Skype Web App 2015 CU6 HF2 или более поздней версии (поставляется с Сервером)

В настоящее время расследуется

• Панель мониторинга качества вызовов (новая установка после отключения TLS 1.0, 1.1, см. ниже)*

Вне область

За исключением указанных случаев, следующие продукты не находятся в область для TLS 1.0/1.1 отключают поддержку и не будут работать в среде, где протоколы TLS 1.0 и 1.1 отключены. Что это означает: если вы по-прежнему используете серверы или клиенты, не область, их необходимо обновить или удалить, если необходимо отключить TLS 1.0/1.1 в любом месте локального развертывания Skype для бизнеса Server.

• Lync Server 2013
• Lync Server 2010
• Windows Server 2008 или более поздней версии
• Lync для Mac 2011
• Lync 2013 для мобильных устройств — iOS, iPad, Android или Windows Phone
• Lync "MX" клиент Магазина Windows
• Система комнат Lync (т. е. SRSv1). Поддержка LRS закончилась 9 октября 2018 г. и не будет обновлена для поддержки TLS 1.2.
• Все клиенты Lync 2010
• Lync Phone Edition — здесь обновлено руководство.
• 2013 на основе устройства для обеспечения связи (SBA) или сервера живучего филиала (SBS)
• Cloud Connector Edition (CCE)
• Skype для бизнеса для Windows Phone

Исключения

Lync Server 2013

Lync Server 2013 зависит от Windows Fabric версии 1.0. На этапе разработки Lync Server 2013 Windows Fabric 1.0 была выбрана в качестве привлекательной и новой распределенной архитектуры, чтобы обеспечить репликацию, высокий уровень доступности и отказоустойчивость. Со временем и Skype для бизнеса Server, и Windows Fabric значительно улучшили эту совместную архитектуру, внося значительный перепроект в последующих версиях. Например, сервер Skype для бизнеса 2015 использует Windows Fabric 3.0.

К сожалению, Windows Fabric 1.0 не поддерживает TLS 1.2. Однако мы обновим Lync Server 2013 для работы с TLS 1.2. Это будет в следующем накопительном обновлении для Lync Server 2013. Мы предоставляем поддержку TLS 1.2 для реализации сценариев сосуществования, миграции, федерации и гибридных сценариев.

Если в вашей организации требуется отключить TLS 1.0 и 1.1 и вы сейчас используете Lync Server 2013, рекомендуется начать процесс планирования с возможностью обновления на месте или параллельного переноса (новые пулы, перемещение пользователей) в Skype для бизнеса Server 2015 или более поздней версии. Вы также можете ускорить миграцию в Skype для бизнеса Online.

Панель мониторинга качества вызовов

Локальная панель мониторинга качества звонков в настоящее время зависит от TLS 1.0 во время новой установки (при первой установке в локальных средах). В настоящее время мы изучаем эту проблему и планируем выпустить исправление в ближайшем будущем. Если вы планируете установить CQD, а также отключить TLS 1.0, рекомендуется сначала завершить установку CQD, а затем продолжить отключение TLS 1.0.

диспетчер SDN Skype для бизнеса

Skype для бизнеса диспетчер SDN, использующий SQL, база данных во время новой установки зависит от TLS 1.0. Если вы планируете установить Skype для бизнеса ДИСПЕТЧЕР SDN с помощью базы данных SQL, а также отключить TLS 1.0, рекомендуется сначала завершить Skype для бизнеса диспетчера SDN, а затем перейти к отключению TLS 1.0. Если протокол TLS 1.0 был отключен до установки, необходимо временно включить TLS 1.0 в SQL Server серверном сервере, который будет использоваться для размещения Skype для бизнеса базы данных SQL ДИСПЕТЧЕРА SDN.

Сторонними устройствами

На сторонних устройствах, таких как телефоны 3PIP, видеоконференции, обратные прокси-серверы и подсистемы балансировки нагрузки, обязательно проверьте поддержку TLS 1.2, тщательно протестируйте и при необходимости обратитесь к поставщику.

Рекомендации по федерации при отключении TLS 1.0/1.1 на пограничных серверах

Необходимо тщательно спланировать и рассмотреть последствия отключения TLS 1.0/1.1 на пограничных серверах. После отключения TLS 1.0 и 1.1 вы можете обнаружить, что другие организации больше не смогут выполнять федерацию с вашей организацией.

Вы можете оставить протокол TLS 1.0/1.1 включенным на пограничных серверах для обеспечения обратной совместимости с внешними системами без исправлений (SfB 2015, Lync 2013) или более старыми (2010).

Корпорация Майкрософт не может предоставить советы или рекомендации о том, подпадает ли ваша сеть Edge (или любая сеть) под стандарт PCI; который должен быть определен отдельной компанией.

Skype для бизнеса Online сегодня поддерживает ПРОТОКОЛ TLS 1.2, поэтому не ожидается никакого влияния на гибридную или федерацию в Сети.

PIC (общедоступное подключение к обмену мгновенными сообщениями) со службой потребителей Skype. Мы не ожидаем, что отключение TLS 1.0/1.1 повлияет на подключение Skype; Шлюзы Microsoft PIC уже поддерживает ПРОТОКОЛ TLS 1.2.

Предварительные требования и процесс

За исключением случаев, описанных выше, когда TLS 1.0 и 1.1 будут отключены вне область серверах, клиенты и устройства будут работать должным образом или вообще. Это может означать, что вам потребуется приостановить работу и дождаться обновления рекомендаций от корпорации Майкрософт. Когда вы будете удовлетворены тем, что соответствуете всем требованиям и имеете план по устранению пробелов, продолжайте.

В то время как Skype для бизнеса Server 2019 готов к процедуре при установке, Skype для бизнеса Server 2015 потребуется установить cu9, применить необходимые обновления для .NET и SQL, развернуть необходимые разделы реестра и, наконец, отдельный раунд обновлений конфигурации ОС (т. е. отключить TLS 1.0 и 1.1 с помощью импорта файлов реестра). Очень важно завершить установку всех необходимых компонентов, включая Skype для бизнеса Server 2015 CU6 HF2, перед отключением TLS 1.0 и 1.1 на любом сервере в вашей среде. Обновления требуются для каждого сервера Skype для бизнеса, включая роль Edge и серверные серверные серверы SQL. Кроме того, убедитесь, что все поддерживаемые клиенты (в область) обновлены до необходимых минимальных версий. Не забудьте также обновить рабочие станции управления.

Мы хотим следовать обычному порядку операций "наизнанку" для обновления Skype для бизнеса серверов. Обрабатывать пулы директоров, постоянный чат и парные пулы так же, как обычно. Порядок и методы обновления рассматриваются здесь и здесь.

Высокоуровневый процесс

1. Протестируйте все шаги в лаборатории перед настройкой рабочих серверов.
2. Создайте резервную копию и сохраните копию экспортированного реестра на каждом отдельном сервере для обновления. Нельзя совместно использовать реестры между серверами; они содержат уникальные ключи на основе компьютера.
3. Обновите все серверы Skype для бизнеса 2015 до cu9 или более поздней версии. Для Skype для бизнеса Server 2019 обновите накопительный пакет обновления 1 (CU1) или более поздней версии.
4. Установите все необходимые компоненты на всех серверах.
5. Развертывание необходимых разделов реестра.
6. Убедитесь, что все клиенты в область обновлены.
7. Отключите TLS 1.0 и 1.1 с помощью импорта реестра.
8. Убедитесь, что рабочие нагрузки работают должным образом.
   • Если возникли проблемы, устраните неполадки и устраните их, или
   • Восстановление реестра с шага 2 для повторного включения TLS 1.0 и 1.1
9. Убедитесь, что используется только TLS 1.2.

Установка необходимых компонентов на всех серверах

Перед началом отключения TLS 1.0 и 1.1 на уровне операционной системы в развертываниях Skype для бизнеса Server 2015 требуется расширенное обновление зависимостей. Ниже приведены минимальные версии, которые могут поддерживать TLS 1.2. Перед отключением TLS 1.0 и 1.1 разверните все необходимые обновления на каждом сервере Skype для бизнеса в вашей среде.

• Skype для бизнеса Server 2015 CU9 6.0.9319.548 (май 2019 г.) или более поздней версии
• платформа .NET Framework 4.7 или более поздней версии с включенной функцией SchUseStrongCrypto в реестре (см. ниже).
• SQL необходимо обновить на всех серверах Skype для бизнеса 2015 и серверных серверах. Сначала обновите серверные серверы SQL выпуск Enterprise пула, а затем соответствующие FE.
  • SQL Server 2014 с пакетом обновления 1 (SP1) + CU5 или более поздней версии / SQL Server 2012 с пакетом обновления 2 (SP2) + CU16 или выше / SQL Server 2014 RTM + CU12 или выше / SQL Server 2014 с пакетом обновления 2 (SP2)
  • SQL Server Native Client за SQL Server 2012 г.
  • Microsoft ODBC Driver 11 для SQL Server или более поздней версии
  • Общие объекты управления для SQL Server 2014 с пакетом обновления 2 (SP2)
  • SQLSysClrTypes для SQL Server 2014 с пакетом обновления 2 (SP2)

Основные шаги по установке предварительных требований в рекомендуемом порядке операций

1. Установите обновление Skype для бизнеса Server CU9 на всех серверах.
   1. Установите обновление для компонентов с помощью средства обновления.
   2. Обновление баз данных в соответствии с документально описанными процедурами. Сведения о Skype для бизнеса Server 2015 г. см. в 3061064 базы знаний.
   3. Проверьте функциональность продукта в развертывании, прежде чем переходить к другим изменениям.
2. Скачайте автономный установщик .NET 4.7.
   1. Справка: платформа .NET Framework 4.7
   2. Убедитесь, что службы Skype для бизнеса Server 2015 остановлены на сервере переднего плана.
   3. Ссылки: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
   4. Ex (Standard Edition): Stop-CsWindowsService
   5. Например (выпуск Enterprise):Invoke-CsComputerFailover
   6. Запустите пакет установщика.
   7. Перезагрузите сервер.
3. Обновление SQL Express 2014 на всех серверах.
   1. Ссылки: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server
   2. Скачать SQL 2014 с пакетом обновления 2 (SP2)
      • Ссылки: https://www.microsoft.com/download/details.aspx?id=53168
   3. Скопируйте установочный носитель в папку на сервере (например, C:\01_2014SqlSp2).
   4. Убедитесь, что службы Skype для бизнеса Server 2015 остановлены на сервере переднего плана
      • Ex (Standard Edition): Stop-CsWindowsService
      • Например (выпуск Enterprise):Invoke-CsComputerFailover
   5. Откройте командную строку Администратор и обновите все установленные компоненты и экземпляры.
      • Пример: C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe /qs /IAcceptSQLServerLicenseTerms /Action=Patch /AllInstances
4. Обновление собственного клиента SQL.
   1. Ссылка: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server.
   2. Скачать из https://www.microsoft.com/download/details.aspx?id=50402
   3. Убедитесь, что службы Skype для бизнеса Server 2015 остановлены на сервере переднего плана.
      • Ex (Standard Edition): Stop-CsWindowsServices
      • Например (выпуск Enterprise):Invoke-CsComputerFailover
   4. Остановка запуска установленных экземпляров SQL
      • Бывший: Get-Service 'MSSQL$RTCLOCAL' | Stop-Service
      • Бывший: Get-Service 'MSSQL$LYNCLOCAL' | Stop-Service
      • Ex (только Standard Edition): Get-Service 'MSSQL$RTC' | Stop-Service
   5. Установите обновление.
5. Обновите драйвер ODBC 11 для SQL Server, чтобы включить поддержку TLS 1.2 (KB 3135244).
   1. Скачайте ДРАЙВЕР ODBC 11 для SQL Server — Windows.
   2. Убедитесь, что службы Skype для бизнеса Server 2015 остановлены на сервере переднего плана.
      • Пример (Standard Edition): Stop-CsWindowsService
      • Пример (выпуск Enterprise):Invoke-CsComputerFailover
   3. Установите обновление.
6. Развертывание необходимых разделов реестра.

Необходимые разделы реестра

Скопируйте или вставьте следующий тест в Блокнот и переименуйте TLSPreReq.reg или имя по своему усмотрению, а затем импортируйте:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

Для серверной части SQL для пулов выпуск Enterprise предварительные требования и отключение TLS должны рассматриваться как любые обновления SQL или ОС; см. следующие статьи:https://learn.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-server

Хотя предварительные требования к приложению и действия по отключению TLS можно объединить, настоятельно рекомендуется применить все предварительные требования, прежде чем продолжить отключение TLS 1.0 и 1.1 на уровне операционной системы. Рекомендуется подготовить среду путем развертывания всех необходимых компонентов, проверки правильности и правильности работы рабочих нагрузок, а затем последующего отключения TLS 1.0/1.1.

Отключение TLS 1.0 и 1.1 с помощью импорта реестра

Прежде чем приступить к дальнейшим действиям, убедитесь, что выполнены все предварительные требования и обновлены Skype для бизнеса server.

Скопируйте следующий текст в файл Блокнота и переименуйте его в TLSDisable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]

"Functions"="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"AllowInsecureRenegoClients"=dword:00000000

"AllowInsecureRenegoServers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 256/256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA384]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA512]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

Импортируйте REG-файл на каждом сервере, который вы хотите отключить TLS 1.0 и 1.1. Перезагрузите сервер. Когда службы вернутся в режим "в сети", перейдите на следующий сервер. Подход к пулам выпуск Enterprise совпадает с любым обновлением ОС.

Возможно, вы заметили, что мы делаем больше, чем просто отключаем TLS 1.0 и 1.1 здесь. Мы поддерживаем изменение порядка в Наборе шифров (как показано выше) и отключение некоторых старых слабых шифров. Мы впервые официально поддержали эти изменения в SCHANNEL и CRYPTO API на Skype для бизнеса Server, и важно отметить, что эти изменения являются единственными, которые мы поддерживаем и тестируем в настоящее время. Мы можем рассмотреть дополнительные конфигурации в будущем, но пока не изменяйте файл импорта реестра в своей реализации.

Проверка правильности рабочих нагрузок

После отключения TLS 1.0 и 1.1 в вашей среде убедитесь, что все рабочие нагрузки main работают должным образом, например мгновенные сообщения & присутствия, P2P-вызовы, Корпоративная голосовая связь и т. д.

Проверка использования только TLS 1.2

Предоставьте группе безопасности новый аудит Skype для бизнеса трафика, чтобы убедиться, что более старые протоколы TLS 1.0 и 1.1 больше не используются.

Кроме того, можно использовать интернет-Обозреватель для проверки подключений TLS к веб-службам с Skype для бизнеса Server 2015 г. после отключения TLS 1.0 и TLS 1.1.

1. Запустите браузер Internet Explorer.
2. Выберите Сервис>Свойства браузера.
3. Перейдите на вкладку Дополнительно .
4. В разделе Параметры прокрутите страницу вниз.
5. Убедитесь, что протоколы TLS 1.0, TLS 1.1 и TLS 1.2 включены.
6. Просмотрите URL-адрес внутренней веб-службы пула SfB 2015 (подключение должно быть выполнено успешно).
7. Назад в Интернет Обозреватель и отключите параметр Использовать только TLS 1.2.
8. Еще раз просмотрите URL-адрес внутренней веб-службы пула SfB 2015 (не удается подключиться).

Расширенные сценарии развертывания

Так как для поддержки TLS 1.2 в Skype для бизнеса Server 2015 требуются некоторые предварительные требования к зависимости, установка с носителя RTM завершится сбоем в любой системе, где отключены ПРОТОКОЛы TLS 1.0 и 1.1.

Развертывание новых серверов standard edition или пулов выпуск Enterprise после отключения TLS 1.0 и 1.1 в вашей среде.

Вариант 1. Используйте SmartSetup. Обратите внимание, что мы обновляем SmartSetup для размещения обновленных двоичных файлов SQL в будущем накопительном пакете обновления. Эта статья будет обновлена в будущем.

Вариант 2. Предварительная установка локальных экземпляров SQL (RTCLOCAL и LYNCLOCAL)

1. Скачайте и скопируйте SQL Express 2014 с пакетом обновления 2 (SP2) (SQLEXPR_x64.exe) в локальную папку на fe. Предположим, путь к <папке SQL_FOLDER_PATH>.

2. Запустите PowerShell или командную строку и перейдите к <SQL_FOLDER_PATH>.

3. Создайте экземпляр SQL RTCLOCAL, выполнив приведенную ниже команду. Дождитесь завершения SQLEXPR_x64.exe, прежде чем продолжить:

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=RTCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automati

4. Создайте экземпляр LYNCLOCAL SQL, выполнив приведенную ниже команду. Дождитесь завершения SQLEXPR_x64.exe, прежде чем переходить к следующему шагу:

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=LYNCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT=. "NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automatic

5. Запустите программу установки Skype для бизнеса Server 2015 RTM.

6. Выполните остальные действия из раздела предварительных требований выше.

Вариант 3. Вы также можете вручную заменить двоичные файлы в локальном каталоге носителя установки следующим образом:

1. Установка необходимых компонентов для Skype для бизнеса Server
2. Установите .NET 4.7:
   • Примечание: Впервые мы представили поддержку .NET 4.7 в Skype для бизнеса Server 2015 с накопительным пакетом обновления 5 (CU5) (6.0.9319.281). Поэтому на последующих шагах ниже мы обновим основные компоненты до main установки.
   • Скачайте: https://dotnet.microsoft.com/download/dotnet-framework/net47.
   • Справочник. Программное обеспечение, которое должно быть установлено до развертывания Skype для бизнеса Server 2015 г.
3. Скопируйте ISO-файлы и папки:
   • После Skype для бизнеса Server 2015 ISO откройте корневой каталог подключенного диска как (например, D:) в проводник.
   • Скопируйте все папки и файлы в папку на локальном диске (например, C:\SkypeForBusiness2015ISO).
   • Примечание: Перед установкой компонентов необходимо обновить некоторые файлы для поддержки TLS 1.2.
4. Замените пакеты MSI/EXE:
   • Замените существующие пакеты MSI и EXE в папке /Setup/amd64/ установочного носителя на локальном компьютере.
   • SQL 2014 с пакетом обновления 2 (SP2) Express: https://www.microsoft.com/download/details.aspx?id=53167
     • Переименуйте на SQLEXPR_x64 на локальном компьютере и замените существующий файл в папке Setup/amd64/ установочного носителя.
   • SQL Native Client: https://www.microsoft.com/download/details.aspx?id=50402
     • Примечание: При необходимости переименуйте его на sqlncli.msi, а затем замените существующий файл, существующий в папке Setup/amd64/ установочного носителя.
   • Объекты управления SQL: https://www.microsoft.com/download/details.aspx?id=53164
     • Примечание: Пакет дополнительных компонентов будет содержать множество элементов, которые можно скачать. Выберите , чтобы скачать только SharedManagementObjects.msi.
     • Примечание: Замените существующий файл, который существует в папке Setup/amd64/ установочного носителя.
   • Типы СРЕДЫ CLR SQL: https://www.microsoft.com/download/details.aspx?id=53164
     • Примечание: Пакет дополнительных компонентов будет содержать множество элементов, которые можно скачать. Выберите , чтобы скачать только CQLSysClrTypes.msi
     • Примечание. Замените существующий файл, существующий в папке Setup/amd64/ установочного носителя.
5. Установка основных компонентов:
   • Запустите Setup.exe из папки Setup/amd64/ установочного носителя. Следуйте инструкциям по установке основных компонентов
   • Закройте основные компоненты.
6. Обновление основных компонентов:
   • Скачайте установщик обновления Skype для бизнеса.
   • Запустите установщик, чтобы обновить основные компоненты и установить счетчики производительности.
   • Примечание: С выпуска CU6HF2 функция автоматического обновления в настоящее время будет устанавливаться только до накопительного пакета обновления 6 (CU6). Поэтому средство обновления необходимо запускать отдельно, чтобы обновить основные компоненты до версии 6.0.9319.516.
   • Ссылки: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
7. Установка средств администрирования (необязательно):
   • При этом будут установлены собственный клиент Microsoft SQL Server 2012, SQL Server 2014 управляющих объектов (x64) и типы microsoft System CLR для SQL Server 2014 (x64) с помощью обновленных файлов. Кроме того, на локальном компьютере будут доступны построитель топологий Skype для бизнеса Server 2015 и панель управления.
8. Установка локального хранилища конфигураций (шаг 1).
   • Откройте мастер развертывания, щелкните Установить или обновить Skype для бизнеса Server системе и щелкните Выполнить на шаге 1. Установка локального хранилища конфигураций.
   • Нажмите кнопку Далее в диалоговом окне Установка локального хранилища конфигураций .
   • Просмотрите результаты и убедитесь, что для состояния задачи задано значение Завершено. Просмотрите результирующий файл журнала, щелкнув Просмотреть журнал.
   • Нажмите Готово.
9. Настройка или удаление компонентов Skype для бизнеса Server (шаг 2).
   • Откройте мастер развертывания, щелкните Установить или обновить Skype для бизнеса Server системе и щелкните Выполнить на шаге 2. Настройка или удаление компонентов Skype для бизнеса Server
   • Нажмите кнопку Далее в диалоговом окне Настройка компонентов Skype для бизнеса Server.
   • Просмотрите журнал с помощью команды Просмотр журнала и убедитесь, что настройка завершена без проблем.
   • Нажмите Готово.
10. При необходимости выполните дополнительную установку и настройку (на этом этапе можно возобновить обычные процедуры установки).