Referência técnica de controlos criptográficos

Aplica-se a: Gestor de Configuração (ramo atual)

O Gestor de Configuração utiliza a assinatura e encriptação para ajudar a proteger a gestão dos dispositivos na hierarquia do Gestor de Configuração. Com a assinatura, se os dados foram alterados em trânsito, é descartado. A encriptação ajuda a evitar que um intruso leia os dados utilizando um analisador de protocolo de rede.

O algoritmo de hashing primário que o Gestor de Configuração utiliza para a assinatura é SHA-256. Quando dois sites do Gestor de Configuração comunicam entre si, assinam as suas comunicações com o SHA-256.

O algoritmo de encriptação primário que o Gestor de Configuração utiliza é 3DES. A encriptação ocorre principalmente nas seguintes duas áreas:

  • Se ativar o site para utilizar encriptação, o cliente encripta os seus dados de inventário e mensagens estatais que envia para o ponto de gestão.

  • Quando o cliente descarrega políticas secretas, o ponto de gestão encripta sempre estas políticas. Por exemplo, uma sequência de tarefas de implementação de SO que inclui palavras-passe.

Nota

Se configurar a comunicação HTTPS, estas mensagens são encriptadas duas vezes. A mensagem é encriptada com 3DES, em seguida, o transporte HTTPS é encriptado com AES.

Quando utilizar a comunicação do cliente em HTTPS, configuure a sua infraestrutura de chaves públicas (PKI) para utilizar certificados com os algoritmos máximos de hashing e comprimentos de chave. Ao utilizar certificados CNG v3, os clientes do Gestor de Configuração apenas suportam certificados que utilizem o algoritmo criptográfico RSA. Para obter mais informações, consulte os requisitos dos certificados PKI e a visão geral dos certificados CNG v3.

Para a segurança dos transportes, qualquer coisa que utilize o TLS suporta a AES. Este suporte inclui quando configurar o site para HTTP ou HTTPS melhorados. Para sistemas de instalações no local, pode controlar as suítes de cifra TLS. Para funções baseadas na nuvem como o gateway de gestão de nuvem (CMG), se ativar O TLS 1.2, o Gestor de Configuração configura as suites de cifra.

Para a maioria das operações criptográficas com sistemas operativos baseados em Windows, o Gestor de Configuração utiliza estes algoritmos a partir da biblioteca cryptoapi Windows rsaenh.dll.

Para obter mais informações sobre funcionalidades específicas, consulte as operações do Site.

Operações no local

As informações no Gestor de Configurações podem ser assinadas e encriptadas. Suporta estas operações com ou sem certificados PKI.

Assinatura de políticas e encriptação

O site assina atribuições de política de clientes com o seu certificado auto-assinado. Este comportamento ajuda a prevenir o risco de segurança de um ponto de gestão comprometido de enviar políticas adulteradas. Se utilizar a gestão de clientes baseada na Internet,este comportamento é importante porque requer um ponto de gestão virado para a Internet.

Quando a política contém dados sensíveis, o site encripta-os com 3DES. A política que contém dados sensíveis só é enviada para clientes autorizados. O site não encripta uma política que não tenha dados sensíveis.

Quando um cliente armazena a política, encripta a política utilizando a interface de programação de aplicações de proteção de dados Windows (DPAPI).

Hashing da política

Quando um cliente pede apólice, primeiro recebe uma atribuição de política. Depois, sabe quais as políticas que lhe são aplicáveis e só pode solicitar esses órgãos políticos. Cada atribuição de política contém o hash calculado para o corpo da política correspondente. O cliente transfere os corpos de política aplicáveis e, em seguida, calcula o hash para cada corpo de política. Se o hash no corpo de política não corresponder ao hash na atribuição de política, o cliente descarta o corpo de política.

O algoritmo de hashing para a política é SHA-1 e SHA-256.

Hashing de conteúdo

O serviço de gestão de distribuição no servidor do site calcula o hash dos ficheiros de conteúdo de todos os pacotes. O fornecedor de política inclui o hash na política de distribuição de software. Quando o cliente do Configuration Manager transfere o conteúdo, o cliente regenera o hash localmente e compara-o com o fornecido na política. Se os haques coincidirem, o conteúdo não é alterado e o cliente instala-o. Se um único byte do conteúdo for alterado, as hashes não coincidem e o cliente não instala o software. Esta verificação ajuda a garantir que o software correto é instalado porque o conteúdo real é comparado com a política.

O algoritmo de hashing padrão para o conteúdo é SHA-256.

Nem todos os dispositivos suportam hash de conteúdo. As exceções incluem:

  • Clientes Windows, quando transmitem em fluxo conteúdo de App-V.

  • Windows Clientes móveis, embora estes clientes verifiquem a assinatura de uma aplicação assinada por uma fonte fidedigna.

Assinatura de inventário e encriptação

Quando um cliente envia hardware ou inventário de software para um ponto de gestão, assina sempre o inventário. Não importa se o cliente comunica com o ponto de gestão sobre HTTP ou HTTPS. Se utilizarem HTTP, também pode optar por encriptar estes dados, o que é recomendado.

Encriptação da migração do Estado

Quando uma sequência de tarefa captura dados de um cliente para a implementação do SO, encripta sempre os dados. Na versão de 2010 e mais cedo, a sequência de tarefas executa a Ferramenta de Migração do Estado do Utilizador (USMT) com o algoritmo de encriptação 3DES. Na versão 2103 e mais tarde, utiliza AES 256.

Encriptação para pacotes multicast

Para cada pacote de implementação de SO, pode ativar a encriptação quando utilizar multicast. Esta encriptação utiliza o algoritmo AES. Se ativar a encriptação, não é necessária outra configuração de certificado. O ponto de distribuição multicast gerado gera automaticamente chaves simétricas para encriptar o pacote. Cada pacote tem uma chave de encriptação diferente. A chave é armazenada no ponto de distribuição de capacidade multicast utilizando APIs padrão do Windows.

Quando o cliente se conecta à sessão multicast, a troca de chaves ocorre num canal encriptado. Se o cliente utilizar HTTPS, utiliza o certificado de autenticação do cliente emitido por PKI. Se o cliente utilizar HTTP, utiliza o certificado auto-assinado. O cliente armazena apenas a chave de encriptação na memória durante a sessão multicast.

Encriptação para meios de implantação de SISTEMA

Quando utiliza meios de comunicação para implantar sistemas operativos, deve sempre especificar uma palavra-passe para proteger os meios de comunicação. Com uma palavra-passe, as variáveis do ambiente da sequência de tarefas são encriptadas com AES-128. Outros dados sobre os meios de comunicação, incluindo pacotes e conteúdos para aplicações, não são encriptados.

Encriptação para conteúdo baseado na nuvem

Quando ativa um gateway de gestão de nuvem (CMG) para armazenar conteúdo ou utilizar um ponto de distribuição baseado na nuvem, o conteúdo é encriptado com AES-256. O conteúdo é encriptado sempre que o atualiza. Quando os clientes descarregam o conteúdo, é encriptado e protegido pela ligação HTTPS.

Iniciar sessão em atualizações de software

Todas as atualizações de software têm de ser assinadas por um fabricante fidedigno para proteção contra adulteração. Nos computadores clientes, o Windows Update Agent (WUA) verifica as atualizações do catálogo. Não instalará a atualização se não conseguir localizar o certificado digital na loja Trusted Publishers no computador local.

Quando publica atualizações de software com System Center Updates Publisher, um certificado digital assina as atualizações de software. Pode especificar um certificado PKI ou configurar o Updates Publisher para gerar um certificado autoassinado para assinar a atualização de software. Se utilizar um certificado auto-assinado para publicar o catálogo de atualizações, como a WSUS Publishers Auto-assinada, o certificado também deve estar na loja de certificados trusted Root Certification Authorities no computador local. A WUA também verifica se o conteúdo assinado por Permitir a definição de política de localização de serviço de atualização intranet Microsoft está ativado no computador local. Esta definição de política deve ser habilitada para a WUA verificar as atualizações que foram criadas e publicadas com System Center Updates Publisher.

Dados de configuração assinados para definições de conformidade

Quando importa dados de configuração, o Gestor de Configuração verifica a assinatura digital do ficheiro. Se os ficheiros não estiverem assinados, ou se o cheque de assinatura falhar, a consola avisa-o para continuar com a importação. Só importa os dados de configuração se confiar explicitamente no editor e na integridade dos ficheiros.

Encriptação e hashing para notificação do cliente

Se utilizar a notificação do cliente, toda a comunicação utiliza o TLS e os algoritmos mais altos que o servidor e o cliente podem negociar. Por exemplo, um computador cliente em execução Windows 7 e um ponto de gestão em execução Windows Servidor 2008 R2 pode suportar encriptação AES-128. A mesma negociação ocorre para hashing os pacotes que são transferidos durante a notificação do cliente, que usa SHA-1 ou SHA-2.

Certificados

Para uma lista dos certificados de infraestrutura chave pública (PKI) que podem ser utilizados pelo Gestor de Configuração, quaisquer requisitos ou limitações especiais, e como os certificados são utilizados, consulte os requisitos do certificado PKI. Esta lista inclui os comprimentos de chaves e algoritmos hash suportados. A maioria dos certificados suportam o comprimento da chave SHA-256 e 2048.

A maioria das operações do Gestor de Configuração que utilizam certificados também suportam certificados V3. Para mais informações, consulte a visão geral dos certificados CNG v3.

Nota

Todos os certificados que o Gestor de Configuração utiliza devem conter apenas caracteres de byte único no nome do sujeito ou nome alternativo sujeito.

O Gestor de Configuração requer certificados PKI para os seguintes cenários:

  • Quando gere clientes do Gestor de Configuração na internet

  • Quando gere clientes do Gestor de Configuração em dispositivos móveis

  • Quando gere computadores macOS

  • Quando se usa um portal de gestão de nuvens ou um ponto de distribuição baseado na nuvem

Para a maioria das outras comunicações que requerem certificados para autenticação, assinatura ou encriptação, o Gestor de Configuração utiliza automaticamente certificados PKI se disponível. Se não estiverem disponíveis, o Gestor de Configuração gera certificados auto-assinados.

O Gestor de Configuração não utiliza certificados PKI quando gere dispositivos móveis utilizando o conector Exchange Server.

Gestão de dispositivos móveis e certificados PKI

Se o dispositivo móvel não estiver bloqueado pelo operador móvel, pode utilizar o Gestor de Configuração para solicitar e instalar um certificado de cliente. Este certificado proporciona autenticação mútua entre o cliente nos sistemas de site do dispositivo móvel e do Gestor de Configuração. Se o dispositivo móvel estiver bloqueado, não pode utilizar o Gestor de Configuração para implantar certificados.

Se ativar o inventário de hardware para dispositivos móveis, o Gestor de Configuração também coondo os certificados instalados no dispositivo móvel.

Certificações de implantação de SO e PKI

Quando utiliza o Gestor de Configuração para implantar sistemas operativos, e um ponto de gestão requer ligações ao cliente HTTPS, o cliente precisa de um certificado para comunicar com o ponto de gestão. Este requisito é mesmo quando o cliente está numa fase de transição, como o arranque de meios de sequência de tarefas ou um ponto de distribuição ativado por PXE. Para apoiar este cenário, crie um certificado de autenticação do cliente PKI e exporte-o com a chave privada. Em seguida, importe-o para as propriedades do servidor do site e adicione também o certificado de CA de raiz fidedigno do ponto de gestão.

Se criar suportes de dados de arranque, importa o certificado de autenticação de cliente quando criar o suporte de dados de arranque. Para ajudar a proteger a chave privada e outros dados sensíveis configurados na sequência de tarefas, configurar uma palavra-passe nos meios de arranque. Todos os computadores que são botas dos meios de comunicação iniciantes usam o mesmo certificado com o ponto de gestão necessário para funções do cliente, tais como solicitar a política do cliente.

Se utilizar o PXE, importe o certificado de autenticação do cliente para o ponto de distribuição ativado pelo PXE. Usa o mesmo certificado para cada cliente que arranca daquele ponto de distribuição ativado pelo PXE. Para ajudar a proteger a chave privada e outros dados sensíveis nas sequências de tarefas, requer uma palavra-passe para PXE.

Se algum destes certificados de autenticação de cliente for comprometido, bloqueie os certificados no nó Certificados na área de trabalho Administração , nó Segurança . Para gerir estes certificados, necessita da permissão para gerir o certificado de implantação do sistema operativo.

Após o Gestor de Configuração implantar o SO instala o cliente, o cliente requer o seu próprio certificado de autenticação do cliente PKI para comunicação do cliente HTTPS.

Soluções de procuração ISV e certificados PKI

Os Fornecedores de Software Independentes (ISVs) podem criar aplicações que alargam o Gestor de Configuração. Por exemplo, um ISV poderia criar extensões para suportar plataformas de clientes não Windows como o macOS. No entanto, se os sistemas de sites precisarem de ligações cliente HTTPS, estes clientes têm também de utilizar certificados KPI para a comunicação com o site. O Gestor de Configuração inclui a capacidade de atribuir um certificado ao proxy ISV que permite comunicações entre os clientes de procuração ISV e o ponto de gestão. Se utilizar extensões que requerem certificados de proxy ISV, consulte a documentação desse produto.

Se o certificado ISV for comprometido, bloqueie o certificado no nó Certificados na área de trabalho Administração , nó Segurança .

Inteligência e certificados de Ativos

O Gestor de Configuração instala com um certificado X.509 que o ponto de sincronização da Inteligência de Ativos utiliza para se ligar à Microsoft. O Gestor de Configuração utiliza este certificado para solicitar um certificado de autenticação do cliente do serviço de certificados da Microsoft. O certificado de autenticação do cliente está instalado no ponto de sincronização da Asset Intelligence e é utilizado para autenticar o servidor para a Microsoft. O Configuration Manager utiliza o certificado de autenticação de cliente para transferir o catálogo do Asset Intelligence e para carregar os títulos de software.

Este certificado tem um comprimento de chave de 1024 bits.

Serviços e certificados Azure

O gateway de gestão de nuvens (CMG) e os pontos de distribuição baseados na nuvem requerem certificados de serviço. Estes certificados permitem que o serviço forneça comunicação HTTPS aos clientes através da internet. Para obter mais informações, veja os seguintes artigos:

Os clientes exigem outro tipo de autenticação para comunicar com um CMG e o ponto de gestão no local. Podem usar Azure Ative Directory, um certificado PKI ou um token do site. Para mais informações, consulte a autenticação do cliente configurar para o gateway de gestão de nuvem.

Os clientes não necessitam de um certificado PKI do cliente para usar o armazenamento baseado na nuvem. Depois de autenticarem o ponto de gestão, o ponto de gestão emite um símbolo de acesso do Gestor de Configuração ao cliente. O cliente apresenta este símbolo ao ponto de distribuição baseado na nuvem para aceder ao conteúdo. O símbolo é válido por oito horas.

Verificação de CRL para certificados PKI

Uma lista de revogação de certificados PKI (CRL) aumenta a segurança global, mas requer alguma sobrecarga administrativa e de processamento. Se ativar a verificação de CRL, mas os clientes não puderem aceder ao CRL, a ligação PKI falha.

O IIS permite a verificação de CRL por defeito. Se utilizar um CRL com a sua implementação PKI, não precisa de configurar a maioria dos sistemas de sites que executam o IIS. A exceção é para atualizações de software, que requerem um passo manual para ativar a verificação CRL para verificar as assinaturas nos ficheiros de atualização de software.

Quando um cliente utiliza HTTPS, ativa a verificação de CRL por predefinição. Para clientes macOS, não é possível desativar a verificação de CRL.

As seguintes ligações não suportam a verificação de CRL no Gestor de Configuração:

  • Ligações servidor-a-servidor

  • Dispositivos móveis matriculados pelo Gestor de Configuração.

Comunicação do servidor

O Gestor de Configuração utiliza os seguintes controlos criptográficos para a comunicação do servidor.

Comunicação do servidor dentro de um site

Cada servidor do sistema de site utiliza um certificado para transferir dados para outros sistemas de site no mesmo site do Gestor de Configurações. Algumas funções de sistema do site também utilizam certificados para autenticação. Por exemplo, se instalar o ponto de procuração de inscrição num servidor e o ponto de inscrição noutro servidor, eles podem autenticar-se mutuamente usando este certificado de identidade.

Quando o Gestor de Configuração utiliza um certificado para esta comunicação, se houver um certificado PKI disponível com capacidade de autenticação do servidor, o Gestor de Configuração utiliza-o automaticamente. Caso contrário, o Gestor de Configuração gera um certificado auto-assinado. Este certificado autoassinado tem capacidade de autenticação de servidor, utiliza SHA-256 e tem um comprimento de chave de 2048 bits. O Gestor de Configuração copia o certificado para a loja Pessoas Fidedignas em outros servidores do sistema de site que possam precisar de confiar no sistema do site. Os sistemas de sites podem depois confiar um do outro utilizando estes certificados e PeerTrust.

Além deste certificado para cada servidor do sistema de site, o Gestor de Configuração gera um certificado auto-assinado para a maioria das funções do sistema do site. Quando existe mais do que uma instância da função de sistema do site no mesmo site, elas partilham o mesmo certificado. Por exemplo, pode ter vários pontos de gestão no mesmo site. Este certificado auto-assinado utiliza SHA-256 e tem um comprimento chave de 2048 bits. É copiado para a Loja de Pessoas Fidedignas nos servidores do sistema de sites que podem precisar de confiar nele. As seguintes funções de sistema do site geram este certificado:

  • Ponto de sincronização do Asset Intelligence

  • Ponto de registo de certificados

  • Ponto de Endpoint Protection

  • Ponto de inscrição

  • Ponto de estado de contingência

  • Ponto de gestão

  • Ponto de distribuição com multicast ativado

  • Ponto do Reporting Services

  • Ponto de atualização de software

  • Ponto de Migração de Estado

O Gestor de Configuração gera e gere automaticamente estes certificados.

Para enviar mensagens de estado do ponto de distribuição para o ponto de gestão, o Gestor de Configuração utiliza um certificado de autenticação do cliente. Ao configurar o ponto de gestão para HTTPS, requer um certificado PKI. Se o ponto de gestão aceitar ligações HTTP, pode utilizar um certificado PKI. Também pode usar um certificado auto-assinado com capacidade de autenticação do cliente, usa SHA-256, e tem um comprimento chave de 2048 bits.

Comunicação de servidores entre sites

O Gestor de Configuração transfere dados entre sites utilizando a replicação da base de dados e a replicação baseada em ficheiros. Para obter mais informações, consulte transferências de dados entre sites e Comunicações entre pontos finais.

O Gestor de Configuração configura automaticamente a replicação da base de dados entre sites. Se disponível, utiliza certificados PKI com capacidade de autenticação do servidor. Se não estiver disponível, o Gestor de Configuração cria certificados auto-assinados para autenticação do servidor. Em ambos os casos, autentica entre sites utilizando certificados na loja Pessoas Fidedignas que utiliza o PeerTrust. Utiliza esta loja de certificados para garantir que apenas a hierarquia do Gestor de Configuração SQL Servidores participem na replicação site-a-local.

Os servidores de site estabelecem comunicação site a site através da utilização de uma troca de chaves segura que ocorre automaticamente. O servidor de site remetente gera um hash e assina-o com a respetiva chave privada. O servidor de site recetor verifica a assinatura, utilizando a chave pública e compara o hash com um valor gerado localmente. Se coincidirem, o site recetor aceita os dados replicados. Se os valores não corresponderem, o Gestor de Configuração rejeita os dados de replicação.

A replicação da base de dados no Gestor de Configuração utiliza o corretor de serviços SQL Server para transferir dados entre sites. Utiliza os seguintes mecanismos:

  • SQL Server para SQL Server: Esta ligação utiliza credenciais Windows para autenticação de servidores e certificados auto-assinados com 1024 bits para assinar e encriptar os dados com o algoritmo AES. Se disponível, utiliza certificados PKI com capacidade de autenticação do servidor. Só utiliza certificados na loja de certificados pessoais do computador.

  • SQL Corretor de Serviços: Este serviço utiliza certificados auto-assinados com bits de 2048 para autenticação e para assinar e encriptar os dados com o algoritmo AES. Só utiliza certificados na base de dados principal SQL Server.

A replicação baseada em ficheiros utiliza o protocolo do bloco de mensagens do servidor (SMB). Usa SHA-256 para assinar dados que não são encriptados e não contêm quaisquer dados sensíveis. Para encriptar estes dados, utilize o IPsec, que implementa de forma independente do Gestor de Configuração.

Clientes que usam HTTPS

Quando as funções de sistema do site aceitam ligações de cliente, pode configurá-las para aceitarem ligações HTTPS e HTTP ou apenas ligações HTTPS. As funções do sistema de sites que aceitam ligações a partir da internet apenas aceitam ligações com o cliente através de HTTPS.

As ligações de cliente através de HTTPS oferecem um nível mais elevado de segurança, integrando com uma infraestrutura de chaves públicas (PKI), para ajudar a proteger a comunicação cliente-servidor. No entanto, configurar ligações de cliente HTTPS sem conhecimentos abrangentes de planeamento, implementação e operações PKI poderia deixá-lo vulnerável. Por exemplo, se não garantir a sua autoridade de certificados de raiz (CA), os atacantes podem comprometer a confiança de toda a sua infraestrutura PKI. Não implementar e gerir os certificados PKI utilizando processos controlados e seguros pode resultar em clientes não geridos que não possam receber atualizações ou pacotes críticos de software.

Importante

Os certificados PKI que o Gestor de Configuração utiliza para a comunicação do cliente protegem a comunicação apenas entre o cliente e alguns sistemas de site. Não protegem o canal de comunicação entre o servidor do site e os sistemas de site ou entre servidores do site.

Comunicação desencriptado quando os clientes usam HTTPS

Quando os clientes comunicam com os sistemas de sites através de HTTPS, a maioria do tráfego é encriptado. Nas seguintes situações, os clientes comunicam com os sistemas de site sem utilizar encriptação:

  • O cliente não faz uma ligação HTTPS na intranet e volta a utilizar HTTP quando os sistemas de site permitem esta configuração.

  • Comunicação para as seguintes funções de sistema do site:

    • O cliente envia mensagens estatais para o ponto de situação de recuo.

    • O cliente envia pedidos PXE para um ponto de distribuição com PXE.

    • O cliente envia dados de notificação para um ponto de gestão.

Configurar os pontos dos serviços de reporte para utilizar HTTP ou HTTPS independentemente do modo de comunicação do cliente.

Clientes que usam HTTP

Quando os clientes usam comunicações HTTP para funções do sistema de site, podem usar certificados PKI para autenticação do cliente, ou certificados auto-assinados que o Gestor de Configuração gera. Quando o Gestor de Configuração gera certificados auto-assinados, eles têm um identificador de objetos personalizado para a assinatura e encriptação. Estes certificados são usados para identificar exclusivamente o cliente. Estes certificados auto-assinados usam SHA-256, e têm um comprimento chave de 2048 bits.

Destacamento de SO e certificados auto-assinados

Quando utiliza o Gestor de Configuração para implantar sistemas operativos com certificados auto-assinados, o cliente também deve ter um certificado para comunicar com o ponto de gestão. Este requisito é mesmo se o computador estiver numa fase de transição, como o arranque a partir de suportes de sequência de tarefas ou de um ponto de distribuição ativado por PXE. Para suportar este cenário para ligações ao cliente HTTP, o Gestor de Configuração gera certificados auto-assinados que têm um identificador de objetos personalizado para a assinatura e encriptação. Estes certificados são usados para identificar exclusivamente o cliente. Estes certificados auto-assinados usam SHA-256, e têm um comprimento chave de 2048 bits. Se estes certificados auto-assinados forem comprometidos, evite que os atacantes os utilizem para se fazerem passar por clientes de confiança. Bloqueie os certificados no nó certificados no espaço de trabalho da Administração, de segurança.

Autenticação de clientes e servidores

Quando os clientes se ligam através de HTTP, autenticam os pontos de gestão utilizando serviços de domínio de diretório ativo ou utilizando a chave raiz fidedigna do Gestor de Configuração. Os clientes não autenticam outras funções do sistema de sites, tais como pontos de migração do Estado ou pontos de atualização de software.

Quando um ponto de gestão autentica pela primeira vez um cliente utilizando o certificado de cliente autoassinado, este mecanismo fornece uma segurança mínima porque qualquer computador pode gerar um certificado autoassinado. Utilize a aprovação do cliente para melhorar este processo. Apenas aprove computadores fidedignos, quer automaticamente pelo Gestor de Configuração, quer manualmente por um utilizador administrativo. Para mais informações, consulte Gerir clientes.

Sobre vulnerabilidades SSL

Para melhorar a segurança dos clientes e servidores do Gestor de Configuração, faça as seguintes ações:

  • Ativar o TLS 1.2 em todos os dispositivos e serviços. Para ativar o TLS 1.2 para o Gestor de Configuração, consulte Como ativar o TLS 1.2 para o Gestor de Configuração.

  • Desative o SSL 3.0, o TLS 1.0 e o TLS 1.1.

  • Reencomenda as suites de cifra relacionadas com o TLS.

Para obter mais informações, consulte Restringir a utilização de certos algoritmos e protocolos criptográficos em Schannel.dll e Priorizando Suítes cifras de Schannel. Estes procedimentos não afetam a funcionalidade do Gestor de Configuração.