Como ativar o TLS 1.2 nos servidores do site e nos sistemas de site remoto

Aplica-se a: Gestor de Configuração (Filial Atual)

Ao ativar o TLS 1.2 para o ambiente de Gestor de Configuração, comece por ativar o TLS 1.2 para os clientes em primeiro lugar. Em seguida, ative o TLS 1.2 nos servidores do site e nos sistemas de site remoto em segundo lugar. Finalmente, teste o cliente para o site comunicações do sistema antes de potencialmente desativar os protocolos mais antigos no lado do servidor. São necessárias as seguintes tarefas para permitir o TLS 1.2 nos servidores do site e nos sistemas de site remoto:

  • Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel a nível do sistema operativo
  • Atualizar e configurar o .NET Framework de suporte TLS 1.2
  • Atualizar SQL Server e componentes do cliente
  • Atualização Windows Server Update Services (WSUS)

Para obter mais informações sobre dependências para funcionalidades e cenários específicos do Gestor de Configurações, consulte Sobre a possibilidade de permitir o TLS 1.2.

Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel a nível do sistema operativo

TLS 1.2 é ativado por predefinição. Portanto, não é necessária qualquer alteração a estas teclas para o permitir. Pode fazer alterações Protocols para desativar os TLS 1.0 e TLS 1.1 depois de ter seguido o resto da orientação nestes artigos e verificou que o ambiente funciona quando apenas o TLS 1.2 está ativado.

Verifique a \SecurityProviders\SCHANNEL\Protocols definição da sub-chave do registo, como indicado nas melhores práticas de segurança da camada de transporte (TLS) com o .NET Framework.

Atualizar e configurar o .NET Framework de suporte TLS 1.2

Determine a versão .NET

Primeiro, determine as versões .NET instaladas. Para obter mais informações, consulte determinar quais as versões e os níveis de pacote de serviço de .NET Framework estão instalados.

Instalar atualizações .NET

Instale as atualizações .NET para que possa ativar uma criptografia forte. Algumas versões de .NET Framework podem necessitar de atualizações para ativar uma criptografia forte. Utilize estas diretrizes:

  • Net Framework 4.6.2 e posteriormente suporta TLS 1.1 e TLS 1.2. Confirme as definições do registo, mas não são necessárias alterações adicionais.

    Nota

    A partir da versão 2107, o Gestor de Configurações requer a .NET Framework versão 4.6.2 da Microsoft para servidores de sites, sistemas de sites específicos, clientes e a consola. Se possível no seu ambiente, instale a versão mais recente da versão .NET 4.8.

  • Atualizar o Net Framework 4.6 e as versões anteriores para suportar as versões TLS 1.1 e TLS 1.2. Para mais informações, consulte .NET Framework versões e dependências.

  • Se estiver a utilizar .NET Framework 4.5.1 ou 4.5.2 em Windows 8.1 ou Windows Server 2012, as atualizações e detalhes relevantes também estão disponíveis no Centro de Descarregamentos.

Configuração para criptografia forte

Configurar .NET Framework para apoiar uma criptografia forte. Defina SchUseStrongCrypto a definição de registo para DWORD:00000001 . Este valor desativa a cifra de fluxo RC4 e requer um reinício. Para obter mais informações sobre esta definição, consulte o Microsoft Security Advisory 296038.

Certifique-se de que define as seguintes teclas de registo em qualquer computador que comunique através da rede com um sistema com ativação TLS 1.2. Por exemplo, clientes do Gestor de Configuração, funções de sistema de site remoto não instaladas no servidor do site e o próprio servidor do site.

Para aplicações de 32 bits que estão em execução em OSs de 32 bits e para aplicações de 64 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores sub-chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Para aplicações de 32 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores sub-chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Nota

A SchUseStrongCrypto definição permite que .NET utilize TLS 1.1 e TLS 1.2. A SystemDefaultTlsVersions definição permite que .NET utilize a configuração de SO. Para mais informações, consulte as melhores práticas do TLS com o .NET Framework.

Atualizar SQL Server e componentes do cliente

Microsoft SQL Server 2016 e depois apoiar os TLS 1.1 e TLS 1.2. Versões anteriores e bibliotecas dependentes podem necessitar de atualizações. Para obter mais informações, consulte o KB 3135244: Suporte TLS 1.2 para Microsoft SQL Server.

Os servidores de sites secundários precisam de utilizar pelo menos SQL Server Express 2016 com o Service Pack 2 (13.2.50.26) ou mais tarde.

SQL Server Native Client

Nota

O KB 3135244 também descreve requisitos para SQL Server componentes do cliente.

Certifique-se de que também atualiza o SQL Server Native Client para, pelo menos, versão SQL Server 2012 SP4 (11.*.7001.0). Este requisito é uma verificação pré-requisito (aviso).

O Gestor de Configuração utiliza SQL Server Native Client nas seguintes funções do sistema de site:

  • Servidor da base de dados do site
  • Servidor do site: site da administração central, site primário ou site secundário
  • Ponto de gestão
  • Ponto de gestão do dispositivo
  • Ponto de Migração de Estado
  • Fornecedor de SMS
  • Ponto de atualização de software
  • Ponto de distribuição com multicast ativado
  • Ponto de serviço de atualização de inteligência de ativos
  • Ponto do Reporting Services
  • Ponto de inscrição
  • Ponto de Endpoint Protection
  • Ponto de ligação de serviço
  • Ponto de registo de certificados
  • Ponto de serviço do armazém de dados

Atualização Windows Server Update Services (WSUS)

Para suportar o TLS 1.2 em versões anteriores do WSUS, instale a seguinte atualização no servidor WSUS:

  • Para o servidor WSUS que está a executar Windows Server 2012, instale 4022721 de atualização ou uma atualização posterior do rollup.

  • Para o servidor WSUS que está a ser Windows Server 2012 R2, instale 4022720 de atualização ou uma atualização posterior do rollup.

A partir de Windows Server 2016, o TLS 1.2 é suportado por padrão para a WSUS. As atualizações TLS 1.2 só são necessárias nos servidores Windows Server 2012 e Windows Server 2012 R2 WSUS.

Passos seguintes