Applies To.NET Framework 4.6.2 System Center 2016 Data Protection Manager System Center 2016 Operations Manager System Center 2016 Virtual Machine Manager System Center Service Management Automation, version 1807 System Center Service Provider Foundation, version 1807

Σύνοψη

Αυτό το άρθρο περιγράφει τον τρόπο ενεργοποίησης του πρωτοκόλλου ασφάλειας επιπέδου μεταφοράς (TLS) έκδοσης 1.2 σε περιβάλλον Microsoft System Center 2016.

Περισσότερες πληροφορίες

Για να ενεργοποιήσετε το πρωτόκολλο TLS έκδοση 1.2 στο περιβάλλον του System Center, ακολουθήστε τα εξής βήματα:

  1. Εγκαταστήστε ενημερώσεις από την έκδοση.Σημειώσεις

  2. Βεβαιωθείτε ότι το πρόγραμμα εγκατάστασης λειτουργεί όπως πριν από την εφαρμογή των ενημερώσεων. Για παράδειγμα, ελέγξτε εάν μπορείτε να εκκινήσετε την κονσόλα.

  3. Αλλάξτε τις ρυθμίσεις παραμέτρων για να ενεργοποιήσετε το TLS 1.2.

  4. Βεβαιωθείτε ότι εκτελούνται όλες οι απαιτούμενες υπηρεσίες SQL Server.

Εγκατάσταση ενημερώσεων

Ενημέρωση δραστηριότητας

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Βεβαιωθείτε ότι έχουν εγκατασταθεί όλες οι τρέχουσες ενημερώσεις ασφαλείας για τον Windows Server 2012 R2 ή τον Windows Server 2016 

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Βεβαιωθείτε ότι το .NET Framework 4.6 είναι εγκατεστημένο σε όλα τα στοιχεία του System Center

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Εγκαταστήστε την απαιτούμενη ενημέρωση SQL Server που υποστηρίζει TLS 1.2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Εγκατάσταση των απαιτούμενων ενημερώσεων του System Center 2016

Ναι

Όχι

Ναι

Ναι

Όχι

Όχι

Ναι

Βεβαιωθείτε ότι τα υπογεγραμμένα πιστοποιητικά CA είναι SHA1 ή SHA2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

1 System Center Operations Manager (SCOM)2 System Center Virtual Machine Manager (SCVMM)3 System Center Data Protection Manager (SCDPM)4 System Center Orchestrator (SCO)5 Service Management Automation (SMA)6 Service Provider Foundation (SPF)7 Service Manager (SM)

Αλλαγή ρυθμίσεων παραμέτρων

Ενημέρωση ρύθμισης παραμέτρων

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Ρύθμιση στα Windows για χρήση μόνο του πρωτοκόλλου TLS 1.2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ρύθμιση στο System Center για χρήση μόνο του πρωτοκόλλου TLS 1.2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Πρόσθετες ρυθμίσεις

Ναι

Όχι

Ναι

Ναι

Όχι

Όχι

Όχι

.NET Framework 

Βεβαιωθείτε ότι το .NET Framework 4.6 είναι εγκατεστημένο σε όλα τα στοιχεία του System Center. Για να το κάνετε αυτό, ακολουθήστεαυτές τις οδηγίες.

Υποστήριξη TLS 1.2

Εγκαταστήστε την απαιτούμενη ενημέρωση SQL Server που υποστηρίζει TLS 1.2. Για να το κάνετε αυτό, ανατρέξτε στο ακόλουθο άρθρο στη Γνωσιακή βάση της Microsoft:

3135244 Υποστήριξη TLS 1.2 για το Microsoft SQL Server

Απαιτούμενες ενημερώσεις του System Center 2016

SQL Server 2012 Native client 11.0 θα πρέπει να εγκατασταθεί σε όλα τα παρακάτω στοιχεία του System Center.

Στοιχείο

Ρόλο

Απαιτούμενο πρόγραμμα οδήγησης SQL

Operations Manager

Διακομιστής διαχείρισης και κονσόλες Web

πρόγραμμα οδήγησης 11.0 του SQL Server 2012 Native client 11.0 ή Microsoft OLE DB 18 για SQL Server (συνιστάται).

Σημείωση Το Πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server υποστηρίζεται με το Operations Manager 2016 UR9 και νεότερες εκδόσεις.

Διαχείριση εικονικών μηχανών

(Δεν απαιτείται)

(Δεν απαιτείται)

Orchestrator

Διακομιστής διαχείρισης

πρόγραμμα οδήγησης 11.0 του SQL Server 2012 Native client 11.0 ή Microsoft OLE DB 18 για SQL Server (συνιστάται).

Σημείωση Το Microsoft OLE DB Driver 18 για SQL Server υποστηρίζεται με το Orchestrator 2016 UR8 και νεότερες εκδόσεις.

Διαχείριση προστασίας δεδομένων

Διακομιστής διαχείρισης

SQL Server 2012 Native client 11.0

Διαχείριση υπηρεσιών

Διακομιστής διαχείρισης

πρόγραμμα οδήγησης 11.0 του SQL Server 2012 Native client 11.0 ή Microsoft OLE DB 18 για SQL Server (συνιστάται).

Σημείωση Microsoft OLE DB Driver 18 for SQL Server υποστηρίζεται με Service Manager 2016 UR9 και νεότερες εκδόσεις.

Για να κάνετε λήψη και εγκατάσταση του Microsoft SQL Server 2012 Native Client 11.0, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για να κατεβάσετε και να εγκαταστήσετε το Πρόγραμμα οδήγησης OLE DB 18 της Microsoft, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για το System Center Operations Manager και το Service Manager, πρέπει να έχετε εγκατεστημένο το ODBC 11.0 ή το ODBC 13.0 σε όλους τους διακομιστές διαχείρισης.

Εγκαταστήστε τις απαιτούμενες ενημερώσεις του System Center 2016 από το ακόλουθο άρθρο της Γνωσιακής βάσης:

4043305 Περιγραφή της συνάθροισης ενημερώσεων 4 για το Microsoft System Center 2016  

Στοιχείο

2016

Operations Manager

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Operations Manager

Διαχείριση υπηρεσιών

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Service Manager

Orchestrator

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Orchestrator

Διαχείριση προστασίας δεδομένων

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Data Protection Manager

Σημείωση Βεβαιωθείτε ότι αναπτύσσετε τα περιεχόμενα του αρχείου και εγκαθιστάτε το αρχείο MSP στον αντίστοιχο ρόλο.

Πιστοποιητικά SHA1 και SHA2

Τα στοιχεία του System Center δημιουργούν πλέον αυτο-υπογεγραμμένα πιστοποιητικά SHA1 και SHA2. Αυτό απαιτείται για την ενεργοποίηση του TLS 1.2. Εάν χρησιμοποιούνται πιστοποιητικά με υπογραφή CA, βεβαιωθείτε ότι τα πιστοποιητικά είναι SHA1 ή SHA2.

Ρύθμιση των Windows ώστε να χρησιμοποιούν μόνο TLS 1.2

Χρησιμοποιήστε μία από τις παρακάτω μεθόδους για να ρυθμίσετε τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1.2.

Μέθοδος 1: Μη αυτόματη τροποποίηση του μητρώου

Σημαντικό Ακολουθήστε τα βήματα σε αυτή την ενότητα προσεκτικά. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Ακολουθήστε τα παρακάτω βήματα για να ενεργοποιήσετε/απενεργοποιήσετε όλα τα πρωτόκολλα SCHANNEL σε όλο το σύστημα. Συνιστάται να ενεργοποιήσετε το πρωτόκολλο TLS 1.2 για εισερχόμενες επικοινωνίες. και ενεργοποιήστε τα πρωτόκολλα TLS 1.2, TLS 1.1 και TLS 1.0 για όλες τις εξερχόμενες επικοινωνίες.

Σημείωση Η πραγματοποίηση αυτών των αλλαγών μητρώου δεν επηρεάζει τη χρήση πρωτοκόλλων Kerberos ή NTLM.

  1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κουμπί Έναρξη, πληκτρολογήστεregedit στο πλαίσιο Εκτέλεση και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Κάντε δεξί κλικ στο πλήκτρο Protocol , τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Πλήκτρο.Μητρώου

  4. Πληκτρολογήστε SSL 3 και, στη συνέχεια, πατήστε το πλήκτρο Enter.

  5. Επαναλάβετε τα βήματα 3 και 4 για να δημιουργήσετε κλειδιά για τα TLS 0, TLS 1.1 και TLS 1.2. Αυτά τα πλήκτρα μοιάζουν με καταλόγους.

  6. Δημιουργήστε ένα κλειδί υπολογιστή-πελάτη και ένα κλειδί διακομιστή κάτω από κάθε ένα από τα κλειδιά SSL 3, TLS 1.0, TLS 1.1 και TLS 1.2 .

  7. Για να ενεργοποιήσετε ένα πρωτόκολλο, δημιουργήστε την τιμή DWORD κάτω από κάθε κλειδί υπολογιστή-πελάτη και διακομιστή ως εξής:

    DisabledByDefault [Τιμή = 0] Ενεργοποιήθηκε [Τιμή = 1] Για να απενεργοποιήσετε ένα πρωτόκολλο, αλλάξτε την τιμή DWORD κάτω από κάθε κλειδί υπολογιστή-πελάτη και διακομιστή ως εξής:

    DisabledByDefault [Τιμή = 1] Ενεργοποιήθηκε [Τιμή = 0]

  8. Στο μενού Αρχείο , κάντε κλικ στην επιλογή Έξοδος.

Μέθοδος 2: Αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών Windows PowerShell σε λειτουργία διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Ρύθμιση του System Center ώστε να χρησιμοποιεί μόνο TLS 1.2

Ρυθμίστε το System Center ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1.2. Για να το κάνετε αυτό, βεβαιωθείτε πρώτα ότι πληρούνται όλες οι προϋποθέσεις. Στη συνέχεια, πραγματοποιήστε τις ακόλουθες ρυθμίσεις στα στοιχεία του System Center και σε όλους τους άλλους διακομιστές στους οποίους είναι εγκατεστημένοι οι παράγοντες.

Χρησιμοποιήστε μία από τις παρακάτω μεθόδους.

Μέθοδος 1: Μη αυτόματη τροποποίηση του μητρώου

Σημαντικό Ακολουθήστε τα βήματα σε αυτή την ενότητα προσεκτικά. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Για να ενεργοποιήσετε την εγκατάσταση ώστε να υποστηρίζει το πρωτόκολλο TLS 1.2, ακολουθήστε τα παρακάτω βήματα:

  1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κουμπί Έναρξη, πληκτρολογήστεregedit στο πλαίσιο Εκτέλεση και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:

    SchUseStrongCrypto [Τιμή = 1]

  4. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:

    SchUseStrongCrypto [Τιμή = 1]

  6. Επανεκκινήστε το σύστημα.

Μέθοδος 2: Αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών Windows PowerShell σε λειτουργία διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους του System Center ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Πρόσθετες ρυθμίσεις

Operations Manager

Πακέτα διαχείρισης

Εισαγάγετε τα πακέτα διαχείρισης για το System Center 2016 Operations Manager. Αυτά βρίσκονται στον ακόλουθο κατάλογο μετά την εγκατάσταση της ενημέρωσης διακομιστή:

\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs για συναθροίσεις ενημερώσεων

Ρυθμίσεις ACS

Για τις Υπηρεσίες συλλογής ελέγχου (ACS), πρέπει να κάνετε πρόσθετες αλλαγές στο μητρώο. Το ACS χρησιμοποιεί το DSN για να κάνει συνδέσεις με τη βάση δεδομένων. Πρέπει να ενημερώσετε τις ρυθμίσεις DSN ώστε να λειτουργούν για το TLS 1.2.

  1. Εντοπίστε το ακόλουθο δευτερεύον κλειδί για ODBC στο μητρώο.Σημείωση Το προεπιλεγμένο όνομα του DSN είναι OpsMgrAC.δευτερεύον κλειδί ODBC.INI

  2. Στο δευτερεύον κλειδί προέλευσης δεδομένων ODBC , επιλέξτε την καταχώρηση για το όνομα DSN, OpsMgrAC. Αυτό περιέχει το όνομα του προγράμματος οδήγησης ODBC που θα χρησιμοποιηθεί για τη σύνδεση βάσης δεδομένων. Εάν έχετε εγκατεστημένο το ODBC 11.0, αλλάξτε αυτό το όνομα σε Πρόγραμμα οδήγησης ODBC 11 για SQL Server. Εναλλακτικά, εάν έχετε εγκαταστήσει το ODBC 13.0, αλλάξτε αυτό το όνομα σε Πρόγραμμα οδήγησης ODBC 13 για SQL Server.Δευτερεύον κλειδί προέλευσης δεδομένων ODBC

  3. Στο δευτερεύον κλειδί OpsMgrAC , ενημερώστε την καταχώρηση Πρόγραμμα οδήγησης για την έκδοση ODBS που είναι εγκατεστημένη.Δευτερεύον κλειδί OpsMgrAC

    • Εάν είναι εγκατεστημένο το ODBC 11.0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης σε %WINDIR%\system32\msodbcsql11.dll.

    • Εάν είναι εγκατεστημένο το ODBC 13.0, αλλάξτε την καταχώρηση προγράμματος οδήγησης σε %WINDIR%\system32\msodbcsql13.dll.

    • Εναλλακτικά, δημιουργήστε και αποθηκεύστε το ακόλουθο αρχείο .reg στο Σημειωματάριο ή σε κάποιο άλλο πρόγραμμα επεξεργασίας κειμένου. Για να εκτελέσετε το αποθηκευμένο αρχείο .reg, κάντε διπλό κλικ στο αρχείο.Για ODBC 11.0, δημιουργήστε το ακόλουθο αρχείο ODBC 11.0.reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Προελεύσεις δεδομένων ODBC] "OpsMgrAC"="Πρόγραμμα οδήγησης ODBC 11 για SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Για ODBC 13.0, δημιουργήστε το ακόλουθο αρχείο ODBC 13.0.reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Προελεύσεις δεδομένων ODBC] "OpsMgrAC"="Πρόγραμμα οδήγησης ODBC 13 για SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Σκλήρυνση TLS σε Linux

Ακολουθήστε τις οδηγίες στην κατάλληλη τοποθεσία Web για να ρυθμίσετε τις παραμέτρους του TLS 1.2 στο περιβάλλον Red Hat ή Apache .

Διαχείριση προστασίας δεδομένων

Για να ενεργοποιήσετε τη Διαχείριση προστασίας δεδομένων για να συνεργαστείτε με το TLS 1.2 για να δημιουργήσετε αντίγραφα ασφαλείας στο cloud, ενεργοποιήστε αυτά τα βήματα στο διακομιστή Διαχείρισης προστασίας δεδομένων.

Orchestrator

Μετά την εγκατάσταση των ενημερώσεων του Orchestrator, ρυθμίστε εκ νέου τη βάση δεδομένων orchestrator χρησιμοποιώντας την υπάρχουσα βάση δεδομένων σύμφωνα με αυτές τις οδηγίες.

Αποποίηση ευθυνών επικοινωνίας τρίτου

Η Microsoft παρέχει στοιχεία επικοινωνίας τρίτων κατασκευαστών για να σας βοηθήσει να βρείτε πρόσθετες πληροφορίες σχετικά με αυτό το θέμα. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια των στοιχείων επικοινωνίας τρίτων.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders