Guide de déploiement de la prise en charge du protocole TLS 1,2 pour System Center 2016

Résumé

Cet article explique comment activer la version 1,2 du protocole TLS (Transport Layer Security) dans un environnement 2016 Microsoft System Center.

Informations supplémentaires

Pour activer le protocole TLS version 1,2 dans votre environnement System Center, procédez comme suit :

  1. Installez les mises à jour à partir de la version. Remarque

    • Le service de gestion des services (SMA) et Service Provider Foundation (SPF) doit être mis à niveau vers la dernière version du correctif, car UR4 n’a aucune mise à jour de ces composants.

    • Pour l’automatisation de la gestion des services (SMA), effectuez la mise à jour vers la mise à jour cumulative 1et égalementle pack d’administration SMA à partir de cette page Web du centre de téléchargement Microsoft.

    • Pour Service Provider Foundation (SPF), effectuez une mise à niveau vers le Rollup 2.

    • System Center Virtual Machine Manager (SCVMM) doit être mis à niveau vers la version cumulative 3au minimum.

  2. Assurez-vous que le programme d’installation est opérationnel tel qu’il était avant d’appliquer les mises à jour. Par exemple, vérifiez si vous pouvez démarrer la console.

  3. Modifiez les paramètres de configuration pour activer TLS 1,2.

  4. Vérifiez que tous les services SQL Server requis sont en cours d’exécution.

Installer les mises à jour

Activité de mise à jour

SCOM1

SCVMMdeuxième

SCDPM3D

SCOn°4

SMAn°5

SPF6

SM6

Vérifiez que toutes les mises à jour de sécurité actuelles sont installées pour windows server 2012 R2 ou windows server 2016 

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Assurez-vous que le 4,6 .NET Framework est installé sur tous les composants System Center.

Oui

 

Oui

 

Oui

Oui

Oui

Oui

Oui

Installez la mise à jour SQL Server requise prenant en charge TLS 1,2

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Installer les mises à jour d' 2016 de System Center requises

Oui

Non

Oui

Oui

Non

Non

Oui

Vérifiez que les certificats signés par une autorité de certification sont SHA1 ou algorithme SHA2

Oui

Oui

Oui

Oui

Oui

Oui

Oui

1 System Center Operations Manager (SCOM) deuxième System Center Virtual Machine Manager (SCVMM) 3D System Center Data Protection Manager (SCDPM) n°4 System Center Orchestrator (SCO) n°5 Automatisation de la gestion des services (SMA) 6 Service Provider Foundation (SPF) 6 Service Manager (SM)

Modifier les paramètres de configuration

Mise à jour de configuration

SCOM1

SCVMMdeuxième

SCDPM3D

SCOn°4

SMAn°5

SPF6

SM6

Configuration sous Windows pour utiliser uniquement le protocole TLS 1,2

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Paramètre sur System Center pour utiliser uniquement le protocole TLS 1,2

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Paramètres supplémentaires

Oui

Non

Oui

Oui

Non

Non

Non

.NET Framework 

Vérifiez que .NET Framework 4,6 est installé sur tous les composants System Center. Pour cela, suivezles instructions ci-dessous.

Support TLS 1,2

Installez la mise à jour SQL Server requise prenant en charge TLS 1,2. Pour cela, consultez l’article suivant de la base de connaissances Microsoft :

3135244 Prise en charge de TLS 1,2 pour Microsoft SQL Server

Mises à jour de 2016 System Center requises

Le 11,0 client natif SQL Server 2012 doit être installé sur tous les composants System Center suivants.

Composant

Role

Pilote SQL requis

Operations Manager

Serveur de gestion et consoles Web

Le client natif SQL 2012 Server 11,0 ou le pilote Microsoft OLE DB 18 pour SQL Server (recommandé).

Remarque Le pilote Microsoft OLE DB 18 pour SQL Server est pris en charge avec Operations Manager 2016 UR9 et les versions ultérieures.

Gestionnaire de machines virtuelles

(Non requis)

(Non requis)

Orchestrator

Serveur de gestion

Le client natif SQL 2012 Server 11,0 ou le pilote Microsoft OLE DB 18 pour SQL Server (recommandé).

Remarque Le pilote Microsoft OLE DB 18 pour SQL Server est pris en charge avec Orchestrator 2016 UR8 et les versions ultérieures.

Data Protection Manager

Serveur de gestion

Client natif SQL Server 2012 11,0

Service Manager

Serveur de gestion

Le client natif SQL 2012 Server 11,0 ou le pilote Microsoft OLE DB 18 pour SQL Server (recommandé).

Remarque Le pilote Microsoft OLE DB 18 pour SQL Server est pris en charge avec Service Manager 2016 UR9 et versions ultérieures.

Pour télécharger et installer Microsoft SQL Server 2012 Native Client 11,0, consultez cette page Web du centre de téléchargement Microsoft.

Pour télécharger et installer le pilote Microsoft OLE DB 18, consultez cette page Web du centre de téléchargement Microsoft.

Pour System Center Operations Manager et Service Manager, vous devez avoir installé odbc 11,0 ou ODBC 13,0 sur tous les serveurs de gestion.

Installez les mises à jour d' 2016 de System Center requises dans l’article de la base de connaissances suivant :

4043305 Description de la mise à jour cumulative 4 pour Microsoft System Center 2016  

Composant

2016

Operations Manager

Update Rollup 4 pour System Center 2016 Operations Manager

Service Manager

Update Rollup 4 pour le gestionnaire de service System Center 2016

Orchestrator

Update Rollup 4 pour System Center 2016 Orchestrator

Data Protection Manager

Update Rollup 4 pour System Center 2016 Data Protection Manager

Remarque Vérifiez que vous développez le contenu du fichier et installez le fichier MSP sur le rôle correspondant.

Certificats SHA1 et algorithme SHA2

Les composants System Center génèrent désormais des certificats auto-signés SHA1 et algorithme SHA2. Cette opération est nécessaire pour activer TLS 1,2. S’il s’agit d’un certificat signé par une autorité de certification, assurez-vous que les certificats sont SHA1 ou algorithme SHA2.

Configurer Windows pour qu’il utilise uniquement les 1,2 TLS

Appliquez l’une des méthodes suivantes pour configurer Windows pour utiliser uniquement le protocole TLS 1,2.

Méthode 1 : modifier manuellement le registre

Important Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de procéder à la modification, Sauvegardez le registre à des fins de restauration en cas de problème.

Procédez comme suit pour activer/désactiver tous les protocoles SCHANNEL. Nous vous recommandons d’activer le protocole TLS 1,2 pour les communications entrantes ; activez les protocoles TLS 1,2, TLS 1,1 et TLS 1,0 pour toutes les communications sortantes.

Remarque La réalisation de ces modifications du Registre n’affecte pas l’utilisation des protocoles Kerberos ou NTLM.

  1. Démarrez l'Éditeur du Registre. Pour cela, cliquez avec le bouton droit sur Démarrer, tapez regedit dans la zone exécuter , puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Cliquez avec le bouton droit sur la clé du protocole , pointez sur nouveau, puis cliquez sur clé. Registre

  4. Tapez SSL 3, puis appuyez sur entrée.

  5. Répétez les étapes 3 et 4 pour créer des clés pour TLS 0, TLS 1,1 et TLS 1,2. Ces clés sont similaires aux répertoires.

  6. Créez une clé de client et une clé de serveur sous chacune des clés SSL 3, tls 1,0, TLS 1,1et TLS 1,2 .

  7. Pour activer un protocole, créez la valeur DWORD sous chaque clé de serveur et client comme suit :

    DisabledByDefault [valeur = 0] Activé [valeur = 1] Pour désactiver un protocole, modifiez la valeur DWORD sous chaque clé client et serveur en procédant comme suit :

    DisabledByDefault [valeur = 1] Activée [valeur = 0]

  8. Dans le menuFichier, cliquez sur Quitter.

Méthode 2 : modification automatique du Registre

Exécutez le script Windows PowerShell suivant en mode administrateur pour configurer automatiquement Windows afin qu’il utilise uniquement le protocole TLS 1,2 :

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Configurer System Center pour utiliser uniquement les 1,2 TLS

Définissez System Center pour utiliser uniquement le protocole TLS 1,2. Pour cela, assurez-vous d’abord que toutes les conditions préalables sont remplies. Ensuite, définissez les paramètres suivants sur les composants System Center et sur tous les autres serveurs sur lesquels les agents sont installés.

Appliquez l’une des méthodes suivantes.

Méthode 1 : modifier manuellement le registre

Important Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de procéder à la modification, Sauvegardez le registre à des fins de restauration en cas de problème.

Pour permettre à l’installation de prendre en charge le protocole TLS 1,2, procédez comme suit :

  1. Démarrez l'Éditeur du Registre. Pour cela, cliquez avec le bouton droit sur Démarrer, tapez regedit dans la zone exécuter , puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Créez la valeur DWORD suivante sous cette clé :

    SchUseStrongCrypto [valeur = 1]

  4. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Créez la valeur DWORD suivante sous cette clé :

    SchUseStrongCrypto [valeur = 1]

  6. Redémarrez le système.

Méthode 2 : modification automatique du Registre

Exécutez le script Windows PowerShell suivant en mode administrateur pour configurer automatiquement System Center de manière à ce qu’il utilise uniquement le protocole TLS 1,2 :

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Paramètres supplémentaires

Operations Manager

Packs d’administration

Importez les modules de gestion pour System Center 2016 Operations Manager. Celles-ci se trouvent dans le répertoire suivant après l’installation de la mise à jour du serveur :

\Program Files\Microsoft System Center 2016 \ Operations Manager\Server\Management packs pour les correctifs de mise à jour

Paramètres ACS

Pour les services de collection d’audit (ACS), vous devez apporter d’autres modifications au registre. ACS utilise le DSN pour établir des connexions à la base de données. Vous devez mettre à jour les paramètres DSN pour les rendre opérationnels pour TLS 1,2.

  1. Recherchez la sous-clé suivante pour ODBC dans le registre. Remarque Le nom par défaut de DSN est OpsMgrAC. ODBC. Sous-clé INI

  2. Dans la sous-clé de sources de données ODBC , sélectionnez l’entrée correspondant au nom de la source de données OpsMgrAC. Il contient le nom du pilote ODBC à utiliser pour la connexion de la base de données. Si ODBC 11,0 est installé, remplacez ce nom par le pilote ODBC 11 pour SQL Server. Si ODBC 13,0 est installé sur votre ordinateur, modifiez ce nom sur pilote ODBC 13 pour SQL Server. Sous-clé de Sources de données ODBC

  3. Dans la sous-clé OpsMgrAC , mettez à jour l’entrée Driver pour la version ODBS installée. Sous-clé de OpsMgrAC

    • Si ODBC 11,0 est installé, remplacez l’entrée du pilote par %windir%\system32\msodbcsql11.dll.

    • Si ODBC 13,0 est installé, remplacez l’entrée du pilote par %windir%\system32\msodbcsql13.dll.

    • Vous pouvez également créer et enregistrer le fichier. reg suivant dans un bloc-notes ou un autre éditeur de texte. Pour exécuter le fichier. reg enregistré, double-cliquez sur le fichier. Pour ODBC 11,0, créez le fichier ODBC 11.0. reg suivant :   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Pour odbc 13,0, créez le fichier 13.0. reg ODBC suivant :   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Sécurisation TLS dans Linux

Suivez les instructions sur le site Web approprié pour configurer TLS 1,2 sur votre environnement Red Hat ou Apache .

Data Protection Manager

Pour permettre aux gestionnaires de protection des données de fonctionner conjointement avec TLS 1,2 pour une sauvegarde sur le Cloud, activez ces étapes sur le serveur Data Protection Manager.

Orchestrator

Après l’installation des mises à jour d’ePolicy Orchestrator, reconfigurez la base de données Orchestrator en utilisant la base de données existante conformément aux instructions ci-dessous.

 

Exclusion de responsabilité sur les coordonnées externes

Microsoft fournit des informations de contacts externes afin de vous aider à obtenir un support technique sur ce sujet. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés externes.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×