Como ativar o TLS 1.2 nos servidores do site e nos sistemas de sites remotos

Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)

Ao ativar o TLS 1.2 para o ambiente do Configuration Manager, comece por ativar o TLS 1.2 para os clientes primeiro. Em seguida, ative o TLS 1.2 nos servidores do site e nos sistemas de sites remotos em segundo lugar. Por fim, teste as comunicações do cliente para o sistema de sites antes de desativar potencialmente os protocolos mais antigos do lado do servidor. São necessárias as seguintes tarefas para ativar o TLS 1.2 nos servidores do site e nos sistemas de sites remotos:

• Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
• Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
• Atualizar o SQL Server e os componentes do cliente
• Atualizar o Windows Server Update Services (WSUS)

Para obter mais informações sobre dependências para recursos e cenários específicos do Gerenciador de Configurações, veja Sobre a habilitação TLS 1.2.

Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional

Na maior parte das vezes, a utilização do protocolo é controlada em três níveis, ao nível do sistema operativo, ao nível da arquitetura ou da plataforma e ao nível da aplicação. O TLS 1.2 está ativado por predefinição ao nível do sistema operativo. Depois de garantir que os valores do registo .NET estão definidos para ativar o TLS 1.2 e verificar se o ambiente está a utilizar corretamente o TLS 1.2 na rede, poderá querer editar a SChannel\Protocols chave de registo para desativar os protocolos mais antigos e menos seguros. Para obter mais informações sobre como desativar o TLS 1.0 e 1.1, veja Configurar protocolos Schannel no Registo do Windows.

Atualize e configure o .NET Framework para dar suporte ao TLS 1.2

Determinar a versão do .NET

Primeiro, determine as versões instaladas do .NET. Para obter mais informações, consulte Determinar quais versões e níveis de service pack do .NET Framework estão instalados.

Instale atualizações do .NET

Instale as atualizações do .NET para que possa ativar uma criptografia forte. Algumas versões do .NET Framework podem necessitar de atualizações para ativar uma criptografia forte. Use estas diretrizes:

• O NET Framework 4.6.2 e posterior suporta o TLS 1.1 e o TLS 1.2. Confirme as definições do registo, mas não são necessárias alterações adicionais.

  Observação

  A partir da versão 2107, o Configuration Manager requer a versão 4.6.2 do Microsoft .NET Framework para servidores de sites, sistemas de sites específicos, clientes e a consola do . Se possível no seu ambiente, instale a versão mais recente do .NET versão 4.8.

• Atualize o NET Framework 4.6 e versões anteriores para suportar o TLS 1.1 e o TLS 1.2. Para obter mais informações, consulte Versões e dependências do .NET Framework.

• Se estiver a utilizar o .NET Framework 4.5.1 ou 4.5.2 no Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012, recomenda-se vivamente que instale as atualizações de segurança mais recentes para o .Net Framework 4.5.1 e 4.5.2 para garantir que o TLS 1.2 pode ser ativado corretamente.

  Para referência, o TLS 1.2 foi introduzido pela primeira vez no .Net Framework 4.5.1 e 4.5.2 com os seguintes rollups de correção:

  • Para o Windows 8.1 e Server 2012 R2: Rollup de correções 3099842
  • Para o Windows Server 2012: Rollup de correções 3099844

Configurar para criptografia forte

Configure o .NET Framework para suportar criptografia forte. Defina a SchUseStrongCrypto definição do registo como DWORD:00000001. Este valor desativa a cifra de fluxo RC4 e requer um reinício. Para obter mais informações sobre esta definição, consulte 296038 de Aconselhamento de Segurança da Microsoft.

Certifique-se de que define as seguintes chaves de registo em qualquer computador que comunique através da rede com um sistema compatível com TLS 1.2. Por exemplo, clientes do Configuration Manager, funções remotas do sistema de sites não instaladas no servidor do site e no próprio servidor do site.

Para aplicações de 32 bits em execução em SOs de 32 bits e para aplicações de 64 bits em execução em SOs de 64 bits, atualize os seguintes valores de subchave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Para aplicativos de 32 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Atualizar o SQL Server e os componentes do cliente

O Microsoft SQL Server 2016 e posterior suportam o TLS 1.1 e o TLS 1.2. As versões anteriores e as bibliotecas dependentes podem necessitar de atualizações. Para obter mais informações, veja KB 3135244: Suporte do TLS 1.2 para o Microsoft SQL Server.

Os servidores de sites secundários têm de utilizar, pelo menos, o SQL Server 2016 Express com o Service Pack 2 (13.2.50.26) ou posterior.

SQL Server Native Client

Certifique-se de que também atualiza o SQL Server Native Client para, pelo menos, a versão SQL Server 2012 SP4 (11.*.7001.0). Este requisito é uma verificação de pré-requisitos (aviso).

O Configuration Manager utiliza o SQL Server Native Client nas seguintes funções do sistema de sites:

• Servidor da base de dados do site
• Servidor do site: site de administração central, site primário ou site secundário
• Ponto de gerenciamento
• Ponto de gestão de dispositivos
• Ponto de migração de estado
• Provedor de SMS
• Ponto de atualização de software
• Ponto de distribuição com multicast ativado
• Ponto de serviço de atualização do Asset Intelligence
• Ponto do Reporting Services
• Ponto de inscrição
• Ponto do Endpoint Protection
• Ponto de ligação de serviço
• Ponto de registo de certificados
• Ponto de serviço do armazém de dados

Ativar o TLS 1.2 em escala com o Automanage Machine Configuration e o Azure Arc

Configura automaticamente o TLS 1.2 no cliente e no servidor para computadores em execução em ambientes do Azure, no local ou em várias clouds. Para começar a configurar o TLS 1.2 nos computadores, ligue-os ao Azure através de servidores preparados para o Azure Arc, que são fornecidos com o pré-requisito de Configuração da Máquina por predefinição. Depois de ligado, o TLS 1.2 pode ser configurado com simplicidade de ponto e clique ao implementar a definição de política incorporada no Portal do Azure: Configurar protocolos de comunicação segura (TLS 1.1 ou TLS 1.2) em servidores Windows. O âmbito da política pode ser atribuído ao nível da subscrição, do grupo de recursos ou do grupo de gestão, bem como excluir quaisquer recursos da definição de política.

Depois de a configuração ter sido atribuída, o estado de compatibilidade dos seus recursos pode ser visualizado em detalhe ao navegar para a página Atribuições de Convidado e ao analisar os recursos afetados.

Para obter um tutorial detalhado, passo a passo, veja Atualizar consistentemente o protocolo TLS do servidor com o Azure Arc e o Automanage Machine Configuration.

Atualizar o Windows Server Update Services (WSUS)

O TLS 1.2 é suportado por predefinição para o WSUS em todas as versões atualmente suportadas do Windows Server.

Para suportar o TLS 1.2 em versões anteriores do WSUS, instale a seguinte atualização no servidor WSUS:

• Para o servidor WSUS com o Windows Server 2012, instale a atualização 4022721 ou uma atualização de rollup posterior.

• Para o servidor WSUS com o Windows Server 2012 R2, instale a atualização 4022720 ou uma atualização de rollup posterior.

Próximas etapas

• Problemas comuns ao habilitar o TLS 1.2