Включение TLS 1.2 на серверах сайта и удаленных системах сайта
Область применения: Configuration Manager (Current Branch)
При включении TLS 1.2 для среды Configuration Manager сначала включите TLS 1.2 для клиентов . Затем включите TLS 1.2 на серверах сайта и удаленных системах сайта. Наконец, протестируйте взаимодействие между клиентом и системой сайта перед отключением старых протоколов на стороне сервера. Для включения TLS 1.2 на серверах сайта и удаленных системах сайта необходимо выполнить следующие задачи:
- Убедитесь, что протокол TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы.
- Обновление и настройка .NET Framework для поддержки TLS 1.2
- Обновление компонентов SQL Server и клиента
- Обновление служб Windows Server Update Services (WSUS)
Дополнительные сведения о зависимостях для конкретных функций и сценариев Configuration Manager см. в статье О включении TLS 1.2.
Убедитесь, что протокол TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы.
В большинстве случаев использование протокола контролируется на трех уровнях: на уровне операционной системы, на уровне платформы или платформы, а также на уровне приложения. Протокол TLS 1.2 включен по умолчанию на уровне операционной системы. Убедившись, что для значений реестра .NET задано значение TLS 1.2, и убедитесь, что среда правильно использует TLS 1.2 в сети, может потребоваться изменить SChannel\Protocols
раздел реестра, чтобы отключить старые и менее безопасные протоколы. Дополнительные сведения об отключении TLS 1.0 и 1.1 см. в разделе Настройка протоколов Schannel в реестре Windows.
Обновление и настройка .NET Framework для поддержки TLS 1.2
Определение версии .NET
Сначала определите установленные версии .NET. Подробные сведения см. в статье Как узнать, какие версии и пакеты обновления Microsoft .NET Framework установлены на компьютере
Установите обновления .NET
Установите обновления .NET, чтобы включить надежное шифрование. Для некоторых версий .NET Framework могут потребоваться обновления для включения надежного шифрования. Воспользуйтесь следующими инструкциями:
NET Framework 4.6.2 и более поздних версий поддерживает TLS 1.1 и TLS 1.2. Подтвердите параметры реестра, но никаких дополнительных изменений не требуется.
Примечание.
Начиная с версии 2107, Configuration Manager требует Microsoft .NET Framework версии 4.6.2 для серверов сайта, определенных систем сайта, клиентов и консоли. Если это возможно в вашей среде, установите последнюю версию .NET версии 4.8.
Обновите NET Framework 4.6 и более ранних версий для поддержки TLS 1.1 и TLS 1.2. Дополнительные сведения см. в статье о версиях и зависимостях в платформе .NET Framework.
Если вы используете .NET Framework 4.5.1 или 4.5.2 в Windows 8.1, Windows Server 2012 R2 или Windows Server 2012, настоятельно рекомендуется установить последние обновления для системы безопасности для .NET Framework 4.5.1 и 4.5.2, чтобы обеспечить правильное включение TLS 1.2.
Для справки протокол TLS 1.2 был впервые представлен в .Net Framework 4.5.1 и 4.5.2 со следующими накопительными пакетами исправлений:
- Для Windows 8.1 и Server 2012 R2: накопительный пакет исправлений 3099842
- Для Windows Server 2012: накопительный пакет исправлений 3099844
Настройка для надежного шифрования
Настройте .NET Framework для поддержки надежного шифрования. Задайте для SchUseStrongCrypto
параметра реестра значение DWORD:00000001
. Это значение отключает шифр потока RC4 и требует перезагрузки. Дополнительные сведения об этом параметре см. в 296038 рекомендаций по безопасности Майкрософт.
Обязательно задайте следующие разделы реестра на любом компьютере, который обменивается данными по сети с системой с поддержкой TLS 1.2. Например, клиенты Configuration Manager, удаленные роли системы сайта, не установленные на сервере сайта, и сам сервер сайта.
Для 32-разрядных приложений, работающих на 32-разрядных ОС, и для 64-разрядных приложений, работающих на 64-разрядных ОС, обновите следующие значения подраздела:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Для 32-разрядных приложений на 64-разрядных системах измените следующие значения подразделов:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Примечание.
Этот SchUseStrongCrypto
параметр позволяет .NET использовать TLS 1.1 и TLS 1.2. Этот SystemDefaultTlsVersions
параметр позволяет .NET использовать конфигурацию ОС. Дополнительные сведения см. в статье Рекомендации по TLS для .NET Framework.
Обновление компонентов SQL Server и клиента
Microsoft SQL Server 2016 и более поздних версий поддерживают TLS 1.1 и TLS 1.2. Более ранние версии и зависимые библиотеки могут требовать обновления. Дополнительные сведения см. в статье Kb 3135244: поддержка TLS 1.2 для Microsoft SQL Server.
Серверы вторичного сайта должны использовать по крайней мере SQL Server 2016 Express с пакетом обновления 2 (SP2) (13.2.50.26) или более поздней версии.
SQL Server Native Client
Примечание.
В 3135244 базы знаний также описаны требования к клиентским компонентам SQL Server.
Обязательно обновите собственный клиент SQL Server по крайней мере до версии SQL Server 2012 с пакетом обновления 4 (SP4) (11.*.7001.0). Это требование является проверкой предварительных требований (предупреждение).
Configuration Manager использует собственный клиент SQL Server для следующих ролей системы сайта:
- Сервер базы данных сайта
- Сервер сайта: сайт центра администрирования, первичный сайт или вторичный сайт
- Точка управления
- Точка управления устройствами
- Точка миграции состояния
- Поставщик SMS
- Точка обновления программного обеспечения
- Точка распространения с поддержкой многоадресной рассылки
- Точка обслуживания обновления аналитики активов
- Точка служб Reporting Services
- Точка регистрации
- Точка Endpoint Protection
- Точка подключения службы.
- Точка регистрации сертификата
- Точка обслуживания хранилища данных
Включение TLS 1.2 в масштабе с помощью автоматического управления конфигурацией компьютера и Azure Arc
Автоматически настраивает TLS 1.2 для клиента и сервера для компьютеров, работающих в Azure, локальных или многооблачных средах. Чтобы приступить к настройке TLS 1.2 на всех компьютерах, подключите их к Azure с помощью серверов с поддержкой Azure Arc, которые по умолчанию предоставляются с предварительным условием конфигурации компьютера. После подключения протокол TLS 1.2 можно настроить с простотой", развернув встроенное определение политики на портале Azure : настройка протоколов безопасной связи (TLS 1.1 или TLS 1.2) на серверах Windows. Область политики можно назначить на уровне подписки, группы ресурсов или группы управления, а также исключить любые ресурсы из определения политики.
После назначения конфигурации состояние соответствия ресурсов можно подробно просмотреть, перейдя на страницу Гостевые назначения и выбрав затронутые ресурсы.
Подробное пошаговое руководство см. в статье Последовательное обновление протокола TLS сервера с помощью Azure Arc и автоматическое управление конфигурацией компьютера.
Обновление служб Windows Server Update Services (WSUS)
TLS 1.2 поддерживается по умолчанию для WSUS во всех поддерживаемых в настоящее время версиях Windows Server.
Для поддержки TLS 1.2 в более ранних версиях WSUS установите на сервере WSUS следующее обновление:
Для сервера WSUS под управлением Windows Server 2012 установите обновление 4022721 или более поздней версии накопительного пакета.
Для сервера WSUS под управлением Windows Server 2012 R2 установите обновление 4022720 или более поздней версии накопительного пакета.
Примечание.
10 октября 2023 г. Windows Server 2012 и Windows Server 2012 R2 вступили в этап расширенной поддержки обновлений. Корпорация Майкрософт больше не будет предоставлять поддержку серверов сайта Configuration Manager или ролей, установленных в этих операционных системах. Дополнительные сведения см. в разделах Расширенные обновления безопасности и Configuration Manager.