Applies ToSystem Center 2012 R2

Σύνοψη

Αυτό το άρθρο περιγράφει τον τρόπο ενεργοποίησης του πρωτοκόλλου ασφάλειας επιπέδου μεταφοράς (TLS) έκδοσης 1.2 σε ένα περιβάλλον Microsoft System Center 2012 R2.

Περισσότερες πληροφορίες

Για να ενεργοποιήσετε το πρωτόκολλο TLS έκδοση 1.2 στο περιβάλλον του System Center, ακολουθήστε τα εξής βήματα:

  1. Εγκαταστήστε ενημερώσεις από την έκδοση.Σημειώσεις

  2. Βεβαιωθείτε ότι το πρόγραμμα εγκατάστασης λειτουργεί όπως πριν από την εφαρμογή των ενημερώσεων. Για παράδειγμα, ελέγξτε εάν μπορείτε να εκκινήσετε την κονσόλα.

  3. Αλλάξτε τις ρυθμίσεις παραμέτρων για να ενεργοποιήσετε το TLS 1.2.

  4. Βεβαιωθείτε ότι εκτελούνται όλες οι απαιτούμενες υπηρεσίες SQL Server.

Εγκατάσταση ενημερώσεων

Ενημέρωση δραστηριότητας

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Βεβαιωθείτε ότι έχουν εγκατασταθεί όλες οι τρέχουσες ενημερώσεις ασφαλείας για τον Windows Server 2012 R2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Βεβαιωθείτε ότι το .NET Framework 4.6 είναι εγκατεστημένο σε όλα τα στοιχεία του System Center

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Εγκαταστήστε την απαιτούμενη ενημέρωση SQL Server που υποστηρίζει TLS 1.2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Εγκατάσταση των απαιτούμενων ενημερώσεων του System Center 2012 R2

Ναι

Όχι

Ναι

Ναι

Όχι

Όχι

Ναι

Βεβαιωθείτε ότι τα υπογεγραμμένα πιστοποιητικά CA είναι SHA1 ή SHA2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

1 System Center Operations Manager (SCOM)2 System Center Virtual Machine Manager (SCVMM)3 System Center Data Protection Manager (SCDPM)4 System Center Orchestrator (SCO)5 Service Management Automation (SMA)6 Service Provider Foundation (SPF)7 Service Manager (SM)

Αλλαγή ρυθμίσεων παραμέτρων

Ενημέρωση ρύθμισης παραμέτρων

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Ρύθμιση στα Windows για χρήση μόνο του πρωτοκόλλου TLS 1.2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ρύθμιση στο System Center για χρήση μόνο του πρωτοκόλλου TLS 1.2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Πρόσθετες ρυθμίσεις

Ναι

Όχι

Ναι

Ναι

Όχι

Όχι

Όχι

.NET Framework 

Βεβαιωθείτε ότι το .NET Framework 4.6 είναι εγκατεστημένο σε όλα τα στοιχεία του System Center. Για να το κάνετε αυτό, ακολουθήστεαυτές τις οδηγίες.

Υποστήριξη TLS 1.2

Εγκαταστήστε την απαιτούμενη ενημέρωση SQL Server που υποστηρίζει TLS 1.2. Για να το κάνετε αυτό, ανατρέξτε στο ακόλουθο άρθρο στη Γνωσιακή βάση της Microsoft:

3135244 Υποστήριξη TLS 1.2 για το Microsoft SQL Server

Απαιτούμενες ενημερώσεις του System Center 2012 R2

SQL Server 2012 Native client 11.0 θα πρέπει να εγκατασταθεί σε όλα τα παρακάτω στοιχεία του System Center.

Στοιχείο

Ρόλο

Operations Manager

Διακομιστής διαχείρισης και κονσόλες Web

Διαχείριση εικονικών μηχανών

(Δεν απαιτείται)

Orchestrator

Διακομιστής διαχείρισης

Διαχείριση προστασίας δεδομένων

Διακομιστής διαχείρισης

Διαχείριση υπηρεσιών

Διακομιστής διαχείρισης

Για να κάνετε λήψη και εγκατάσταση του Microsoft SQL Server 2012 Native Client 11.0, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για το System Center Operations Manager και το Service Manager, πρέπει να έχετε εγκατεστημένο το ODBC 11.0 ή το ODBC 13.0 σε όλους τους διακομιστές διαχείρισης.

Εγκαταστήστε τις απαιτούμενες ενημερώσεις του System Center 2012 R2 από το ακόλουθο άρθρο της Γνωσιακής βάσης:

4043306 Περιγραφή της συνάθροισης ενημερώσεων 14 για το Microsoft System Center 2012 R2  

Στοιχείο

2012 R2

Operations Manager

Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Operations Manager

Διαχείριση υπηρεσιών

Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Service Manager

Orchestrator

Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Orchestrator

Διαχείριση προστασίας δεδομένων

Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Data Protection Manager

Σημείωση Βεβαιωθείτε ότι αναπτύσσετε τα περιεχόμενα του αρχείου και εγκαθιστάτε το αρχείο MSP στον αντίστοιχο ρόλο, εκτός από τη Διαχείριση προστασίας δεδομένων. Για τη Διαχείριση προστασίας δεδομένων, εγκαταστήστε το αρχείο .exe.

Πιστοποιητικά SHA1 και SHA2

Τα στοιχεία του System Center δημιουργούν πλέον αυτο-υπογεγραμμένα πιστοποιητικά SHA1 και SHA2. Αυτό απαιτείται για την ενεργοποίηση του TLS 1.2. Εάν χρησιμοποιούνται πιστοποιητικά με υπογραφή CA, βεβαιωθείτε ότι τα πιστοποιητικά είναι SHA1 ή SHA2.

Ρύθμιση των Windows ώστε να χρησιμοποιούν μόνο TLS 1.2

Χρησιμοποιήστε μία από τις παρακάτω μεθόδους για να ρυθμίσετε τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1.2.

Μέθοδος 1: Μη αυτόματη τροποποίηση του μητρώου

Σημαντικό: Ακολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Ακολουθήστε τα παρακάτω βήματα για να ενεργοποιήσετε/απενεργοποιήσετε όλα τα πρωτόκολλα SCHANNEL σε όλο το σύστημα. Συνιστάται να ενεργοποιήσετε το πρωτόκολλο TLS 1.2 για εισερχόμενες επικοινωνίες και να ενεργοποιήσετε τα πρωτόκολλα TLS 1.2, TLS 1.1 και TLS 1.0 για όλες τις εξερχόμενες επικοινωνίες.

Σημείωση Η πραγματοποίηση αυτών των αλλαγών μητρώου δεν επηρεάζει τη χρήση πρωτοκόλλων Kerberos ή NTLM.

  1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κουμπί Έναρξη, πληκτρολογήστεregedit στο πλαίσιο Εκτέλεση και, στη συνέχεια, επιλέξτε OK.

  2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Κάντε δεξί κλικ στο πλήκτρο Protocol , τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Πλήκτρο.Μητρώου

  4. Πληκτρολογήστε SSL 3 και, στη συνέχεια, πατήστε το πλήκτρο Enter.

  5. Επαναλάβετε τα βήματα 3 και 4 για να δημιουργήσετε κλειδιά για τα TLS 0, TLS 1.1 και TLS 1.2. Αυτά τα πλήκτρα μοιάζουν με καταλόγους.

  6. Δημιουργήστε ένα κλειδί υπολογιστή-πελάτη και ένα κλειδί διακομιστή κάτω από κάθε ένα από τα κλειδιά SSL 3, TLS 1.0, TLS 1.1 και TLS 1.2 .

  7. Για να ενεργοποιήσετε ένα πρωτόκολλο, δημιουργήστε την τιμή DWORD κάτω από κάθε κλειδί υπολογιστή-πελάτη και διακομιστή ως εξής:

    DisabledByDefault [Τιμή = 0] Ενεργοποιήθηκε [Τιμή = 1] Για να απενεργοποιήσετε ένα πρωτόκολλο, αλλάξτε την τιμή DWORD κάτω από κάθε κλειδί υπολογιστή-πελάτη και διακομιστή ως εξής:

    DisabledByDefault [Τιμή = 1] Ενεργοποιήθηκε [Τιμή = 0]

  8. Στο μενού Αρχείο , επιλέξτε Έξοδος.

Μέθοδος 2: Αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών Windows PowerShell σε λειτουργία διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Ρύθμιση του System Center ώστε να χρησιμοποιεί μόνο TLS 1.2

Ρυθμίστε το System Center ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1.2. Για να το κάνετε αυτό, βεβαιωθείτε πρώτα ότι πληρούνται όλες οι προϋποθέσεις. Στη συνέχεια, ρυθμίστε τις παραμέτρους των ακόλουθων ρυθμίσεων στα στοιχεία του System Center και σε όλους τους άλλους διακομιστές στους οποίους είναι εγκατεστημένοι οι παράγοντες.

Χρησιμοποιήστε μία από τις παρακάτω μεθόδους.

Μέθοδος 1: Μη αυτόματη τροποποίηση του μητρώου

Σημαντικό: Ακολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Για να ενεργοποιήσετε την εγκατάσταση ώστε να υποστηρίζει το πρωτόκολλο TLS 1.2, ακολουθήστε τα παρακάτω βήματα:

  1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κουμπί Έναρξη, πληκτρολογήστεregedit στο πλαίσιο Εκτέλεση και, στη συνέχεια, επιλέξτε OK.

  2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:

    SchUseStrongCrypto [Τιμή = 1]

  4. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:

    SchUseStrongCrypto [Τιμή = 1]

  6. Επανεκκινήστε το σύστημα.

Μέθοδος 2: Αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών Windows PowerShell σε λειτουργία διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους του System Center ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Πρόσθετες ρυθμίσεις

Operations Manager

Πακέτα διαχείρισης

Εισαγάγετε τα πακέτα διαχείρισης για το System Center 2012 R2 Operations Manager. Αυτά βρίσκονται στον ακόλουθο κατάλογο μετά την εγκατάσταση της ενημέρωσης διακομιστή:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs για συναθροίσεις ενημερώσεων

Ρυθμίσεις ACS

Για τις Υπηρεσίες συλλογής ελέγχου (ACS), πρέπει να κάνετε πρόσθετες αλλαγές στο μητρώο. Το ACS χρησιμοποιεί το DSN για να κάνει συνδέσεις με τη βάση δεδομένων. Πρέπει να ενημερώσετε τις ρυθμίσεις DSN ώστε να λειτουργούν για το TLS 1.2.

  1. Εντοπίστε το ακόλουθο δευτερεύον κλειδί για ODBC στο μητρώο.Σημείωση Το προεπιλεγμένο όνομα του DSN είναι OpsMgrAC.δευτερεύον κλειδί ODBC.INI

  2. Στο δευτερεύον κλειδί προέλευσης δεδομένων ODBC , επιλέξτε την καταχώρηση για το όνομα DSN, OpsMgrAC. Αυτό περιέχει το όνομα του προγράμματος οδήγησης ODBC που θα χρησιμοποιηθεί για τη σύνδεση βάσης δεδομένων. Εάν έχετε εγκατεστημένο το ODBC 11.0, αλλάξτε αυτό το όνομα σε Πρόγραμμα οδήγησης ODBC 11 για SQL Server. Εναλλακτικά, εάν έχετε εγκαταστήσει το ODBC 13.0, αλλάξτε αυτό το όνομα σε Πρόγραμμα οδήγησης ODBC 13 για SQL Server.Δευτερεύον κλειδί προέλευσης δεδομένων ODBC

  3. Στο δευτερεύον κλειδί OpsMgrAC , ενημερώστε την καταχώρηση Πρόγραμμα οδήγησης για την έκδοση ODBS που είναι εγκατεστημένη.Δευτερεύον κλειδί OpsMgrAC

    • Εάν είναι εγκατεστημένο το ODBC 11.0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης σε %WINDIR%\system32\msodbcsql11.dll.

    • Εάν είναι εγκατεστημένο το ODBC 13.0, αλλάξτε την καταχώρηση προγράμματος οδήγησης σε %WINDIR%\system32\msodbcsql13.dll.

    • Εναλλακτικά, δημιουργήστε και αποθηκεύστε το ακόλουθο αρχείο .reg στο Σημειωματάριο ή σε κάποιο άλλο πρόγραμμα επεξεργασίας κειμένου. Για να εκτελέσετε το αποθηκευμένο αρχείο .reg, κάντε διπλό κλικ στο αρχείο.Για ODBC 11.0, δημιουργήστε το ακόλουθο αρχείο ODBC 11.0.reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Προελεύσεις δεδομένων ODBC] "OpsMgrAC"="Πρόγραμμα οδήγησης ODBC 11 για SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Για ODBC 13.0, δημιουργήστε το ακόλουθο αρχείο ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Προελεύσεις δεδομένων ODBC] "OpsMgrAC"="Πρόγραμμα οδήγησης ODBC 13 για SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Σκλήρυνση TLS σε Linux

Ακολουθήστε τις οδηγίες στην κατάλληλη τοποθεσία Web για να ρυθμίσετε τις παραμέτρους του TLS 1.2 στο περιβάλλον Red Hat ή Apache .

Διαχείριση προστασίας δεδομένων

Για να ενεργοποιήσετε τη Διαχείριση προστασίας δεδομένων για να συνεργαστείτε με το TLS 1.2 για να δημιουργήσετε αντίγραφα ασφαλείας στο cloud, ενεργοποιήστε αυτά τα βήματα στο διακομιστή Διαχείρισης προστασίας δεδομένων. 

Orchestrator

Μετά την εγκατάσταση των ενημερώσεων του Orchestrator, ρυθμίστε εκ νέου τη βάση δεδομένων orchestrator χρησιμοποιώντας την υπάρχουσα βάση δεδομένων σύμφωνα με αυτές τις οδηγίες.

Διαχείριση υπηρεσιών

Πριν από την εγκατάσταση των ενημερώσεων του Service Manager, εγκαταστήστε τα απαιτούμενα πακέτα και ρυθμίστε εκ νέου τις τιμές κλειδιού μητρώου, όπως περιγράφεται στην ενότητα οδηγιών "Πριν από την εγκατάσταση" του KB 4024037.

Επίσης, αν παρακολουθείτε το System Center Service Manager χρησιμοποιώντας το System Center Operations Manager, κάντε ενημέρωση στην τελευταία έκδοση (v 7.5.7487.89) του Πακέτου διαχείρισης παρακολούθησης για υποστήριξη TLS 1.2.

Αυτοματοποίηση διαχείρισης υπηρεσιών (SMA)

Εάν παρακολουθείτε την Αυτοματοποίηση διαχείρισης υπηρεσιών (SMA) χρησιμοποιώντας το System Center Operations Manager, κάντε ενημέρωση στην πιο πρόσφατη έκδοση του Πακέτου διαχείρισης παρακολούθησης για υποστήριξη TLS 1.2:

System Center Management Pack για System Center 2012 R2 Orchestrator - Αυτοματοποίηση διαχείρισης υπηρεσιών

Αποποίηση ευθυνών επικοινωνίας τρίτου

Η Microsoft παρέχει στοιχεία επικοινωνίας τρίτων κατασκευαστών για να σας βοηθήσει να βρείτε πρόσθετες πληροφορίες σχετικά με αυτό το θέμα. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια των στοιχείων επικοινωνίας τρίτων.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.