TLS 1,2 protokolli kasutajatoe juurutamise juhend System Center 2016

Kokkuvõte

Selles artiklis kirjeldatakse, kuidas lubada Microsoft System Center 2016 keskkonnas transpordikihi turbe (TLS) protokolli versiooni 1,2.

Lisateave

Kui soovite lubada oma System Centeri keskkonnas TLS-protokolli versiooni 1,2, tehke järgmist.

  1. Värskenduste installimine Väljalaske kaudu. Märkused.

  2. Veenduge, et häälestamine oleks sama funktsionaalne nagu enne värskenduste rakendamist. Näiteks kontrollige, kas saate konsooli käivitada.

  3. Muutke konfiguratsiooni sätteid , et lubada TLS 1,2.

  4. Veenduge, et kõik nõutavad SQL serveri teenused oleksid käivitatud.

Värskenduste installimine

Värskenda tegevust

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Veenduge, et kõik praegused turvavärskendused on installitud windows Server 2012 R2 või windows Server 2016 

Jah

Jah

Jah

Jah

Jah

Jah

Jah

Veenduge, et .NET Framework 4,6 oleks installitud kõigis süsteemi Centeri komponentides.

Jah

 

Jah

 

Jah

Jah

Jah

Jah

Jah

Installige nõutav SQL Server Update, mis toetab TLS 1,2

Jah

Jah

Jah

Jah

Jah

Jah

Jah

Vajalike System Center 2016 värskenduste installimine

Jah

Ei

Jah

Jah

Ei

Ei

Jah

Veenduge, et serditud serdid on kas SHA1 või SHA2

Jah

Jah

Jah

Jah

Jah

Jah

Jah

1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manageri (SCVMM) 3 System Center Data Protection Manager (SCDPM) 4 System Center Orchestrator (SCO) 5 Teenuse halduse automatiseerimine (SMA) 6 Teenuse pakkuja Sihtasutus (SPF) 7 Teenindusjuht (SM)

Konfiguratsiooni sätete muutmine

Konfiguratsiooni värskendamine

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Windowsi säte ainult TLS 1,2 protokolli kasutamiseks

Jah

Jah

Jah

Jah

Jah

Jah

Jah

System Centeri säte ainult TLS 1,2 protokolli kasutamiseks

Jah

Jah

Jah

Jah

Jah

Jah

Jah

Täiendavad sätted

Jah

Ei

Jah

Jah

Ei

Ei

Ei

.NET Framework 

Veenduge, et .NET Framework 4,6 oleks installitud kõigis süsteemi Centeri komponentides. Selleks järgigejärgmisi juhiseid.

TLS 1,2 tugi

Installige vajalik SQL serveri värskendus, mis toetab TLS 1,2. Selleks lugege järgmist Microsofti teabebaasi (Knowledge Base) artiklit:

3135244 TLS 1,2 Microsoft SQL serveri tugi

Nõutav System Center 2016 värskendused

SQL Server 2012 Native Client 11,0 tuleks installida kõigisse järgmistesse System Centeri komponentidesse.

Komponent

Rolli

Nõutav SQL-draiver

Operatsioonide haldur

Dokumendihalduse server ja veebikonsoolid

SQL Server 2012 Native Client 11,0 või Microsoft OLE DB Driver 18 SQL Server (soovitatav).

Märkus. Microsoft OLE DB Driver 18 for SQL Server on toetatud Operations Manager 2016 UR9 ja uuemate versioonidega.

Virtual Machine Manageri

(Pole nõutav)

(Pole nõutav)

Orchestrator

Management Server

SQL Server 2012 Native Client 11,0 või Microsoft OLE DB Driver 18 SQL Server (soovitatav).

Märkus. Microsoft OLE DB draiveri 18 SQL serveri jaoks on toetatud Orchestrator 2016 UR8 ja uuemate versioonidega.

Andmete kaitse haldur

Management Server

SQL Server 2012 Native Client 11,0

Teenindusjuht

Management Server

SQL Server 2012 Native Client 11,0 või Microsoft OLE DB Driver 18 SQL Server (soovitatav).

Märkus. Microsoft OLE DB Driver 18 for SQL Server on toetatud Teenindusjuht 2016 UR9 ja uuemate versioonidega.

Microsoft SQL Server 2012 Native Client 11,0 allalaadimiseks ja installimiseks lugege seda Microsofti allalaadimiskeskuse veebilehte.

Microsoft OLE DB Driver 18 allalaadimiseks ja installimiseks lugege seda Microsofti allalaadimiskeskuse veebilehte.

System Center operatsioonide halduri ja Teenindusjuht jaoks peab teil olema installitud odbc 11,0 või ODBC 13,0 kõigisse halduse serveritesse.

Installige nõutav System Center 2016 värskendusi järgmises teabebaasi (Knowledge Base) artiklis:

4043305 Microsoft System Centeri 2016 värskenduskomplekti 4 kirjeldus  

Komponent

2016

Operatsioonide haldur

System Center 2016 operatsioonide halduri värskenduskomplekt 4

Teenindusjuht

System Center 2016 Teenindusjuht värskenduskomplekt 4

Orchestrator

System Center 2016 Orchestrator värskenduskomplekt 4

Andmete kaitse haldur

System Center 2016 andmete kaitse halduri värskenduskomplekt 4

Märkus. Veenduge, et laiendate sisu ja installite MSP-failid vastavale rollile.

SHA1 ja SHA2 sertifikaadid

Süsteemi Centeri komponendid loovad nüüd nii SHA1 kui ka SHA2 iseallkirjastatud serdid. See on vajalik TLS 1,2 lubamiseks. Kui kasutatakse CA-allkirjastatud serte, veenduge, et serdid on kas SHA1 või SHA2.

Windowsi seadmine ainult TLS 1,2 kasutamiseks

Kasutage ühte järgmistest meetoditest Windowsi konfigureerimiseks, et kasutada ainult TLS 1,2 protokolli.

1. meetod: registri käsitsi muutmine

NB! Järgige hoolikalt selles jaotises toodud juhiseid. Registri vale muutmine võib tõsiseid probleeme põhjustada. Enne selle muutmist varundage register taastamiseks juhul, kui probleemid tekivad.

Järgmiste toimingute abil saate lubada/keelata kõigi SCHANNELI protokollide kogu. Soovitatav on lubada TLS 1,2 protokoll sissetulevatele suhtlustele; ja lubage kõigi väljamineva suhtluse jaoks TLS 1,2, TLS 1,1 ja TLS 1,0 protokollid.

Märkus. Nende registri muudatuste tegemisel ei mõjuta Kerberose või NTLM-protokollide kasutamist.

  1. Käivitage registriredaktor. Selleks paremklõpsake nuppu Start, tippige väljale Käivitatekst regedit ja klõpsake siis nuppu OK.

  2. Otsige üles järgmine registri alamvõti:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Paremklõpsake protokolli võtit, osutage käsule Uusja klõpsake siis käsku Key. Registry

  4. Tippige SSL 3ja vajutage sisestusklahvi (ENTER).

  5. Korrake juhiseid 3 ja 4, et luua võtmeid TLS 0, TLS 1,1 ja TLS 1,2 jaoks. Need võtmed meenutavad katalooge.

  6. Saate luua Kliendi võtme ja serveri võtme iga SSL 3, tls 1,0, TLS 1,1ja TLS 1,2 võtmete alusel.

  7. Protokolli lubamiseks looge iga kliendi ja serveri võtme jaoks DWORD-väärtus järgmiselt.

    DisabledByDefault [väärtus = 0] Lubatud [väärtus = 1] Protokolli keelamiseks muutke iga kliendi ja serveri võtme DWORD-väärtus järgmiselt.

    DisabledByDefault [Value = 1] Lubatud [väärtus = 0]

  8. Klõpsake menüüs pilt nuppu välju.

Meetod 2: registri automaatne muutmine

Käivitage järgmine Windows PowerShelli skript administraatori režiimis, et konfigureerida Windows automaatselt kasutama ainult TLS 1,2 protokolli.

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

System Center seadmine ainult TLS 1,2 kasutamiseks

Seadke System Center kasutama ainult TLS 1,2 protokolli. Selleks veenduge esmalt, et kõik eeltingimused oleksid täidetud. Seejärel tehke süsteemi Centeri komponentides ja kõigis teistes serverites, kus agendid on installitud, järgmised sätted.

Kasutage ühte järgmistest meetoditest.

1. meetod: registri käsitsi muutmine

NB! Järgige hoolikalt selles jaotises toodud juhiseid. Registri vale muutmine võib tõsiseid probleeme põhjustada. Enne selle muutmist varundage register taastamiseks juhul, kui probleemid tekivad.

Kui soovite lubada, et install toetaks TLS 1,2 protokolli, tehke järgmist.

  1. Käivitage registriredaktor. Selleks paremklõpsake nuppu Start, tippige väljale Käivitatekst regedit ja klõpsake siis nuppu OK.

  2. Otsige üles järgmine registri alamvõti:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Looge selle võtme all järgmine DWORD-väärtus:

    SchUseStrongCrypto [Value = 1]

  4. Otsige üles järgmine registri alamvõti:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Looge selle võtme all järgmine DWORD-väärtus:

    SchUseStrongCrypto [Value = 1]

  6. Taaskäivitage süsteem.

Meetod 2: registri automaatne muutmine

Käivitage järgmine Windows PowerShelli skript administraatori režiimis, et konfigureerida System Center automaatselt kasutama ainult TLS 1,2 protokolli.

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Täiendavad sätted

Operatsioonide haldur

Haldamise paketid

System Center 2016 operatsioonide halduri hoolduspakettide importimiseks. Need asuvad pärast serveri värskenduse installimist järgmises kataloogis.

\Program Files\Microsoft System Center 2016 \ operatsioonide Manager\Server\Management paketid värskenduskomplekti

ACS sätted

Auditi kogumise teenuste (ACS) korral peate registris tegema täiendavaid muudatusi. ACS kasutab DSN-i, et luua ühendusi andmebaasiga. Peate värskendama DSN-i sätted, et muuta need funktsionaalseks TLS 1,2 jaoks.

  1. Leidke registris ODBC jaoks järgmine alamvõti. Märkus. DSN-i vaike-nimi on OpsMgrAC. ODBC. INI alamvõtme

  2. Valige alamvõtmes ODBC-andmeallikad soovitud DSN-nime kirje, OpsMgrAC. See sisaldab ODBC-draiveri nime, mida kasutatakse andmebaasi ühenduses. Kui teil on installitud ODBC 11,0, muutke see nimi SQL serveri ODBC-draiveriks 11. Kui teil on installitud ODBC 13,0, muutke see nimi SQL serveri ODBC-draiveriks 13. ODBC andmeallikad alamvõtme

  3. Värskendage alamvõtmes OpsMgrAC installitud ODBS versiooni draiveri kirjet. OpsMgrAC alamvõtme

    • Kui ODBC 11,0 on installitud, muutke draiveri kannet %windir%\system32\msodbcsql11.dll.

    • Kui ODBC 13,0 on installitud, muutke draiveri kannet %windir%\system32\msodbcsql13.dll.

    • Teise võimalusena saate luua ja salvestada Notepadis või mõnes muus tekstiredaktoris olevat REG-faili. Failis salvestatud. reg käivitamiseks topeltklõpsake seda. Odbc 11,0jaoks looge järgmine ODBC 11,0. reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Odbc 13,0jaoks looge järgmine ODBC-1.0 reg-toimik.   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS kõvenemine Linuxis

Järgige vastava veebisaidi juhiseid, et konfigureerida TLS 1,2 punase mütsi või Apache keskkonnas.

Andmete kaitse haldur

Kui soovite, et andmete kaitse haldur töötaks koos TLS 1,2, et varundada pilve, lubage need toimingud andmete kaitse halduri serveris.

Orchestrator

Pärast seda, kui Orchestrator värskendused on installitud, konfigureerige Orchestrator andmebaas uuesti, kasutades käesolevate juhistekohaselt olemasolevat andmebaasi.

 

Kolmanda osapoole kontakti lahtiütlus

Microsoft pakub kolmanda osapoole kontaktteavet, mis aitab teil selle teema kohta täiendavat teavet leida. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei garanteeri kolmanda osapoole kontaktteabe täpsust.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×