Kokkuvõte
Selles artiklis kirjeldatakse, kuidas lubada Microsoft System Center 2016 keskkonnas transpordikihi turbe (TLS) protokolli versiooni 1,2.
Lisateave
Kui soovite lubada oma System Centeri keskkonnas TLS-protokolli versiooni 1,2, tehke järgmist.
-
Värskenduste installimine Väljalaske kaudu. Märkused.
-
Teenuse halduse automatiseerimine (SMA) ja teenuse pakkuja Sihtasutus (SPF) peab olema täiendatud nende uusima värskenduskomplekti, sest UR4 ei värskendata neid komponente.
-
Teenuse halduse automatiseerimise (SMA) korral saate uuendada värskenduskomplekti 1ja kaselle Microsofti allalaadimiskeskuse veebisaidiltka u pdate (MP).
-
Teenuse pakkuja asutamise (SPF) korral Värskendage värskenduskomplekti 2.
-
System Center Virtual Machine Manageri (SCVMM) tuleks uuendada vähemalt värskenduskomplekt 3.
-
-
Veenduge, et häälestamine oleks sama funktsionaalne nagu enne värskenduste rakendamist. Näiteks kontrollige, kas saate konsooli käivitada.
-
Muutke konfiguratsiooni sätteid , et lubada TLS 1,2.
-
Veenduge, et kõik nõutavad SQL serveri teenused oleksid käivitatud.
Värskenduste installimine
|
Värskenda tegevust |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Veenduge, et kõik praegused turvavärskendused on installitud windows Server 2012 R2 või windows Server 2016 |
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
|
Veenduge, et .NET Framework 4,6 oleks installitud kõigis süsteemi Centeri komponentides. |
Jah
|
Jah
|
Jah |
Jah |
Jah |
Jah |
Jah |
|
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
|
|
Jah |
Ei |
Jah |
Jah |
Ei |
Ei |
Jah |
|
|
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manageri (SCVMM) 3 System Center Data Protection Manager (SCDPM) 4 System Center Orchestrator (SCO) 5 Teenuse halduse automatiseerimine (SMA) 6 Teenuse pakkuja Sihtasutus (SPF) 7 Teenindusjuht (SM)
Konfiguratsiooni sätete muutmine
|
Konfiguratsiooni värskendamine |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
|
|
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
Jah |
|
|
Jah |
Ei |
Jah |
Jah |
Ei |
Ei |
Ei |
.NET Framework
Veenduge, et .NET Framework 4,6 oleks installitud kõigis süsteemi Centeri komponentides. Selleks järgigejärgmisi juhiseid.
TLS 1,2 tugi
Installige vajalik SQL serveri värskendus, mis toetab TLS 1,2. Selleks lugege järgmist Microsofti teabebaasi (Knowledge Base) artiklit:
3135244 TLS 1,2 Microsoft SQL serveri tugi
Nõutav System Center 2016 värskendused
SQL Server 2012 Native Client 11,0 tuleks installida kõigisse järgmistesse System Centeri komponentidesse.
|
Komponent |
Rolli |
Nõutav SQL-draiver |
|
Operatsioonide haldur |
Dokumendihalduse server ja veebikonsoolid |
SQL Server 2012 Native Client 11,0 või Microsoft OLE DB Driver 18 SQL Server (soovitatav). Märkus. Microsoft OLE DB Driver 18 for SQL Server on toetatud Operations Manager 2016 UR9 ja uuemate versioonidega. |
|
Virtual Machine Manageri |
(Pole nõutav) |
(Pole nõutav) |
|
Orchestrator |
Management Server |
SQL Server 2012 Native Client 11,0 või Microsoft OLE DB Driver 18 SQL Server (soovitatav). Märkus. Microsoft OLE DB draiveri 18 SQL serveri jaoks on toetatud Orchestrator 2016 UR8 ja uuemate versioonidega. |
|
Andmete kaitse haldur |
Management Server |
SQL Server 2012 Native Client 11,0 |
|
Teenindusjuht |
Management Server |
SQL Server 2012 Native Client 11,0 või Microsoft OLE DB Driver 18 SQL Server (soovitatav). Märkus. Microsoft OLE DB Driver 18 for SQL Server on toetatud Teenindusjuht 2016 UR9 ja uuemate versioonidega. |
Microsoft SQL Server 2012 Native Client 11,0 allalaadimiseks ja installimiseks lugege seda Microsofti allalaadimiskeskuse veebilehte.
Microsoft OLE DB Driver 18 allalaadimiseks ja installimiseks lugege seda Microsofti allalaadimiskeskuse veebilehte.
System Center operatsioonide halduri ja Teenindusjuht jaoks peab teil olema installitud odbc 11,0 või ODBC 13,0 kõigisse halduse serveritesse.
Installige nõutav System Center 2016 värskendusi järgmises teabebaasi (Knowledge Base) artiklis:
4043305 Microsoft System Centeri 2016 värskenduskomplekti 4 kirjeldus
|
Komponent |
2016 |
|
Operatsioonide haldur |
System Center 2016 operatsioonide halduri värskenduskomplekt 4 |
|
Teenindusjuht |
System Center 2016 Teenindusjuht värskenduskomplekt 4 |
|
Orchestrator |
System Center 2016 Orchestrator värskenduskomplekt 4 |
|
Andmete kaitse haldur |
System Center 2016 andmete kaitse halduri värskenduskomplekt 4 |
Märkus. Veenduge, et laiendate sisu ja installite MSP-failid vastavale rollile.
SHA1 ja SHA2 sertifikaadid
Süsteemi Centeri komponendid loovad nüüd nii SHA1 kui ka SHA2 iseallkirjastatud serdid. See on vajalik TLS 1,2 lubamiseks. Kui kasutatakse CA-allkirjastatud serte, veenduge, et serdid on kas SHA1 või SHA2.
Windowsi seadmine ainult TLS 1,2 kasutamiseks
Kasutage ühte järgmistest meetoditest Windowsi konfigureerimiseks, et kasutada ainult TLS 1,2 protokolli.
1. meetod: registri käsitsi muutmine
NB! Järgige hoolikalt selles jaotises toodud juhiseid. Registri vale muutmine võib tõsiseid probleeme põhjustada. Enne selle muutmist varundage register taastamiseks juhul, kui probleemid tekivad.
Järgmiste toimingute abil saate lubada/keelata kõigi SCHANNELI protokollide kogu. Soovitatav on lubada TLS 1,2 protokoll sissetulevatele suhtlustele; ja lubage kõigi väljamineva suhtluse jaoks TLS 1,2, TLS 1,1 ja TLS 1,0 protokollid.
Märkus. Nende registri muudatuste tegemisel ei mõjuta Kerberose või NTLM-protokollide kasutamist.
-
Käivitage registriredaktor. Selleks paremklõpsake nuppu Start, tippige väljale Käivitatekst regedit ja klõpsake siis nuppu OK.
-
Otsige üles järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Paremklõpsake protokolli võtit, osutage käsule Uusja klõpsake siis käsku Key.
-
Tippige SSL 3ja vajutage sisestusklahvi (ENTER).
-
Korrake juhiseid 3 ja 4, et luua võtmeid TLS 0, TLS 1,1 ja TLS 1,2 jaoks. Need võtmed meenutavad katalooge.
-
Saate luua Kliendi võtme ja serveri võtme iga SSL 3, tls 1,0, TLS 1,1ja TLS 1,2 võtmete alusel.
-
Protokolli lubamiseks looge iga kliendi ja serveri võtme jaoks DWORD-väärtus järgmiselt.
DisabledByDefault [väärtus = 0] Lubatud [väärtus = 1] Protokolli keelamiseks muutke iga kliendi ja serveri võtme DWORD-väärtus järgmiselt.
DisabledByDefault [Value = 1] Lubatud [väärtus = 0]
-
Klõpsake menüüs pilt nuppu välju.
Meetod 2: registri automaatne muutmine
Käivitage järgmine Windows PowerShelli skript administraatori režiimis, et konfigureerida Windows automaatselt kasutama ainult TLS 1,2 protokolli.
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
System Center seadmine ainult TLS 1,2 kasutamiseks
Seadke System Center kasutama ainult TLS 1,2 protokolli. Selleks veenduge esmalt, et kõik eeltingimused oleksid täidetud. Seejärel tehke süsteemi Centeri komponentides ja kõigis teistes serverites, kus agendid on installitud, järgmised sätted.
Kasutage ühte järgmistest meetoditest.
1. meetod: registri käsitsi muutmine
NB! Järgige hoolikalt selles jaotises toodud juhiseid. Registri vale muutmine võib tõsiseid probleeme põhjustada. Enne selle muutmist varundage register taastamiseks juhul, kui probleemid tekivad.
Kui soovite lubada, et install toetaks TLS 1,2 protokolli, tehke järgmist.
-
Käivitage registriredaktor. Selleks paremklõpsake nuppu Start, tippige väljale Käivitatekst regedit ja klõpsake siis nuppu OK.
-
Otsige üles järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Looge selle võtme all järgmine DWORD-väärtus:
SchUseStrongCrypto [Value = 1]
-
Otsige üles järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Looge selle võtme all järgmine DWORD-väärtus:
SchUseStrongCrypto [Value = 1]
-
Taaskäivitage süsteem.
Meetod 2: registri automaatne muutmine
Käivitage järgmine Windows PowerShelli skript administraatori režiimis, et konfigureerida System Center automaatselt kasutama ainult TLS 1,2 protokolli.
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Täiendavad sätted
Operatsioonide haldur
Haldamise paketid
System Center 2016 operatsioonide halduri hoolduspakettide importimiseks. Need asuvad pärast serveri värskenduse installimist järgmises kataloogis.
\Program Files\Microsoft System Center 2016 \ operatsioonide Manager\Server\Management paketid värskenduskomplekti
ACS sätted
Auditi kogumise teenuste (ACS) korral peate registris tegema täiendavaid muudatusi. ACS kasutab DSN-i, et luua ühendusi andmebaasiga. Peate värskendama DSN-i sätted, et muuta need funktsionaalseks TLS 1,2 jaoks.
-
Leidke registris ODBC jaoks järgmine alamvõti. Märkus. DSN-i vaike-nimi on OpsMgrAC.
-
Valige alamvõtmes ODBC-andmeallikad soovitud DSN-nime kirje, OpsMgrAC. See sisaldab ODBC-draiveri nime, mida kasutatakse andmebaasi ühenduses. Kui teil on installitud ODBC 11,0, muutke see nimi SQL serveri ODBC-draiveriks 11. Kui teil on installitud ODBC 13,0, muutke see nimi SQL serveri ODBC-draiveriks 13.
-
Värskendage alamvõtmes OpsMgrAC installitud ODBS versiooni draiveri kirjet.
-
Kui ODBC 11,0 on installitud, muutke draiveri kannet %windir%\system32\msodbcsql11.dll.
-
Kui ODBC 13,0 on installitud, muutke draiveri kannet %windir%\system32\msodbcsql13.dll.
-
Teise võimalusena saate luua ja salvestada Notepadis või mõnes muus tekstiredaktoris olevat REG-faili. Failis salvestatud. reg käivitamiseks topeltklõpsake seda. Odbc 11,0jaoks looge järgmine ODBC 11,0. reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Odbc 13,0jaoks looge järgmine ODBC-1.0 reg-toimik. [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS kõvenemine Linuxis
Järgige vastava veebisaidi juhiseid, et konfigureerida TLS 1,2 punase mütsi või Apache keskkonnas.
Andmete kaitse haldur
Kui soovite, et andmete kaitse haldur töötaks koos TLS 1,2, et varundada pilve, lubage need toimingud andmete kaitse halduri serveris.
Orchestrator
Pärast seda, kui Orchestrator värskendused on installitud, konfigureerige Orchestrator andmebaas uuesti, kasutades käesolevate juhistekohaselt olemasolevat andmebaasi.
Kolmanda osapoole kontakti lahtiütlus
Microsoft pakub kolmanda osapoole kontaktteavet, mis aitab teil selle teema kohta täiendavat teavet leida. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei garanteeri kolmanda osapoole kontaktteabe täpsust.
