תמיכה TLS 1.2 עבור שרת Microsoft SQL

מבוא

מאמר זה מספק מידע על עדכוני מיקרוסופט מפרסמת כדי לאפשר תמיכה TLS 1.2 2016 של שרת SQL, SQL Server 2008, SQL Server 2008 R2, 2012 שרת SQL ו- 2014 של שרת SQL. מאמר זה מפרט גם ספקי לקוח נתמך.

מספר ידוע פגיעויות שדווחו מול SSL לבין גירסאות מוקדמות יותר של אבטחת שכבת התעבורה (TLS). אנו ממליצים לשדרג ל- TLS 1.2 עבור תקשורת מאובטחת.

חשוב לא ידוע פגיעויות שדווחו עבור מימוש Microsoft TDS. זהו פרוטוקול תקשורת המשמש בין לקוחות SQL Server מנגנון מסד הנתונים של שרת SQL.

היישום Microsoft Schannel של TLS 1.0 (בנוגע הפגיעויות המוכרות שדווחו ל- Microsoft נכון לתאריך הפרסום של מאמר זה) מסוכם ב Schannel המימוש של TLS 1.0 ב- Windows update מצב אבטחה: 24 בנובמבר 2015 .

כיצד ניתן לדעת אם דרושה לך עדכון זה

השתמש בטבלה הבאה כדי לקבוע אם הגירסה הנוכחית של שרת SQL יש כבר תמיכה עבור TLS 1.2 או אם יש לך להוריד עדכון כדי לאפשר תמיכה TLS 1.2. השתמש קישורי ההורדה בטבלה כדי להשיג את העדכונים שרת הישימים לסביבה שלך.

הערה גירסאות build שהם מאוחר יותר לאלה המפורטות בטבלה זו תומכת גם TLS 1.2.

מהדורת שרת SQLבנה הראשון התומך TLS 1.2הורד קישור עבור גירסאות build קודמותמידע נוסף
SQL Server 2014 SP112.0.4439.1עדכון מצטבר 5 עבור SQL Server 2014 SP1KB 3052404 תיקון: לא ניתן להשתמש פרוטוקול אבטחת שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL Server 2014 או SQL Server 2012
SQL Server 2014 SP1 GDR12.0.4219.0עדכון של SQL Server 2014 SP1 GDR TLS 1.2
RTM 2014 של שרת SQL12.0.2564.0

עדכון מצטבר 12 עבור SQL Server 2014KB 3052404 תיקון: לא ניתן להשתמש פרוטוקול אבטחת שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL Server 2014 או SQL Server 2012
GDR RTM של SQL Server 201412.0.2271.0עדכון של SQL Server 2014 RTM GDR TLS 1.2
SQL Server 2012 SP3 GDR11.0.6216.27עדכון של SQL Server 2012 SP3 GDR TLS 1.2
SQL Server 2012 SP311.0.6518.0עדכון מצטבר 1 עבור SQL Server 2012 SP3KB 3052404 תיקון: לא ניתן להשתמש פרוטוקול אבטחת שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL Server 2014 או SQL Server 2012
SQL Server 2012 SP2 GDR11.0.5352.0עדכון של SQL Server 2012 SP2 GDR TLS 1.2
SQL Server 2012 SP211.0.5644.210 עדכון מצטבר עבור SQL Server 2012 SP2KB 3052404 תיקון: לא ניתן להשתמש פרוטוקול אבטחת שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL Server 2014 או SQL Server 2012
SQL Server 2008 R2 SP310.50.6542.0SQL Server 2008 R2 SP3 TLS 1.2 עדכון
SQL Server 2008 R2 SP2 GDR (IA-64 בלבד)10.50.4047.0עדכון של SQL Server 2008 R2 SP2 GDR (IA-64) TLS 1.2
SQL Server 2008 R2 SP2 (IA-64 בלבד)10.50.4344.0עדכון של SQL Server 2008 R2 SP2 (IA-64) TLS 1.2
SQL Server 2008 SP410.0.6547.0SQL Server 2008 SP4 TLS 1.2 עדכון
SQL Server 2008 SP3 GDR (IA-64 בלבד)10.0.5545.0עדכון של SQL Server 2008 SP3 GDR (IA-64) TLS 1.2
SQL Server 2008 SP3 (IA-64 בלבד)10.0.5896.0עדכון של SQL Server 2008 SP3 (IA-64) TLS 1.2


מוריד רכיב הלקוח

השתמש בטבלה הבאה כדי להוריד את רכיבי הלקוח ואת עדכוני מנהלי התקנים הרלוונטיים לסביבה שלך.

/Driver רכיב לקוחעדכון עם תמיכה TLS 1.2
ADO.NET - SqlClient (.NET Framework 4.5.2, 4.5.1, 4.5)אוסף תיקונים חמים 3099842 עבור .NET Framework 4.5.2, 4.5.1 ו- 4.5 על Windows 8.1 ו- Windows Server 2012 R2

אוסף תיקונים חמים 3099844 עבור .NET Framework 4.5.2, 4.5.1 ו- 4.5 Windows 8 ו- Windows Server 2012

אוסף תיקונים חמים 3099845 עבור .NET Framework 4.5.2 ו- .NET Framework 4.5.1 ב- Windows 7 Service Pack 1 / Windows Vista ו- Windows Server 2008 R2/Windows Server 2008
ADO.NET - SqlClient (.NET Framework 4.0)אוסף תיקונים חמים 3106994 4.0 מסגרת .NET ב- Windows

ADO.NET - SqlClient (.NET Framework 3.5/.NET Framework 2.0 SP2)אוסף תיקונים חמים 3106991 עבור SP2 2.0 .NET Framework ב- Windows Server 2008 R2 SP1 ו- Windows 7 SP1

אוסף תיקונים חמים 3106992 עבור SP2 2.0 .NET Framework 2012 שרת Windows ו- Windows 8

אוסף תיקונים חמים 3106993 עבור SP2 2.0 .NET Framework ב- Windows Server 2012 R2 וב -Windows 8.1

לקוח מקורי של שרת SQL (עבור SQL Server 2008 R2)לקוח שרת SQL מקורי (x86 ו- x64)
לקוח מקורי של שרת SQL (עבור SQL Server 2008 R2)SQL Server 2008 R2 מקורי לקוח (IA-64)
לקוח מקורי של שרת SQL (עבור SQL Server 2008)SQL Server 2008 מקורי לקוח (x86 ו- x64)
לקוח מקורי של שרת SQL (עבור SQL Server 2008)SQL Server 2008 לקוח מקורית (IA-64)
לקוח מקורי של שרת SQL (עבור SQL Server 2012 ו- SQL Server 2014)Microsoft SQL Server 2012 לקוח מקורית - QFE
מנהל התקן Microsoft ODBC עבור שרת SQLמנהל התקן Microsoft ODBC 11 עבור SQL Server - Windows
JDBC 6.0מנהלי התקנים של Microsoft JDBC 6.0 (תצוגה מקדימה), 4.2, 4.1 ו- 4.0 עבור שרת SQL
JDBC 4.1 ו- JDBC 4.2מנהלי התקנים של Microsoft JDBC 6.0 (תצוגה מקדימה), 4.2, 4.1 ו- 4.0 עבור שרת SQL

תיקונים נוספים הדרושים עבור SQL Server להשתמש TLS 1.2

עליך להתקין את אוספי החם .NET הבאה כדי לאפשר תכונות שרת SQL כמו דואר מסד נתונים ותמיכה רכיבים מסוימים SSIS המשתמשות נקודות הקצה של .NET הדורשות TLS 1.2 כמו פעילות שירות אינטרנט לשימוש TLS 1.2.

מערכת ההפעלה.NET framework גירסהעדכונים עם תמיכה TLS 1.2
Windows 7 Service Pack 1, Windows 2008 R2 Service Pack 13.5.1תמיכה עבור גירסה 1.2 TLS הכלולים ב- .NET Framework גירסה 3.5.1
Windows 8 RTM, RTM של Windows 20123.5תמיכה עבור גירסה 1.2 TLS הכלולים ב- .NET Framework גירסה 3.5
Windows 8.1, Windows 2012 R2 SP13.5 SP1תמיכה עבור גירסה 1.2 TLS הכלולים ב- .NET Framework גירסה 3.5 SP1 על Windows 8.1 ו- Windows Server 2012 R2

שאלות נפוצות

TLS 1.1 תומך ב- SQL Server 2016?

כן. 2016 שרת SQL גירסאות למשלוח באמצעות TLS 1.0 תמיכה TLS 1.2. עליך להפוך ללא זמינה TLS 1.0 ו- 1.1, אם ברצונך להשתמש רק TLS 1.2 עבור תקשורת לקוח-שרת.

TDS מושפע הפגיעויות המוכרות?

לא ידוע פגיעויות שדווחו עבור מימוש Microsoft TDS. מכיוון מספר ארגונים לאכיפת סטנדרטים הם mandating את השימוש של TLS 1.2 עבור ערוצי תקשורת מוצפנת, מיקרוסופט מפרסמת את התמיכה עבור TLS 1.2 עבור התקנת שרת SQL הנרחב הבסיס.

כיצד העדכונים TLS 1.2 יופץ ללקוחות?

מאמר זה מספק קישורים להורדה עבור העדכונים שרת ולקוח המתאים התומכים TLS 1.2.

תהיה תמיכה ב- SQL Server 2005 עבור TLS 1.2?

תמיכה TLS 1.2 מוצע רק עבור SQL Server 2008 וגירסאות מתקדמות יותר.

האם לקוחות המשתמשים אינם מושפעים SSL/TLS אם ב- SSL 3.0 ו- TLS 1.0 אינם זמינים בשרת?

כן. שרת SQL מצפין את שם המשתמש והסיסמה במהלך הכניסה גם אם לא נעשה שימוש ערוץ תקשורת מאובטח. עדכון זה נדרש עבור כל המופעים של SQL Server לא באמצעות תקשורת מאובטחת, הכוללים את כל הפרוטוקולים האחרים מלבד TLS 1.2 זמין בשרת.

אילו גירסאות של Windows Server תומך TLS 1.2?

Windows Server 2008 R2 וגירסאות מתקדמות יותר תומכות TLS 1.2.

מהי הגדרת הרישום הנכון כדי לאפשר TLS 1.2 עבור תקשורת שרת SQL?

הגדרות הרישום הנכון הן כדלקמן:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
הגדרות אלה דרושים עבור שרת ומחשבי הלקוח. הגדרות DisabledByDefault ו- Enabled נדרשים ליצור ב- Windows Server 2008 R2 שרתים ולקוחות של Windows 7. ב- Windows 8 ו ובגירסאות מאוחרות יותר של מערכות ההפעלה של הלקוח או השרת 2012 שרת Windows ובגירסאות מאוחרות יותר של מערכות ההפעלה של השרת, כבר TLS 1.2 צריך להיות זמין. אם מיישמים מדיניות פריסה עבור הרישום של Windows אשר צריך להיות עצמאיים של מהדורת OS, לאחר מכן מומלץ להוסיף את מפתחות הרישום שהוזכרו על המדיניות.

אילו מנהלי התקנים של הלקוח תמיכה TLS 1.2 לתקשורת עם מנגנון מסד הנתונים של שרת SQL?

"הורדות רכיב הלקוח" טבלה מפרטת הלקוחות נתמכים.

בעיות מוכרות

בעיה 1

סטודיו ניהול שרת SQL (SSMS), שרת הדוחות ומנהל דוח להתחבר מנגנון מסד הנתונים לאחר החלת התיקון עבור SQL Server 2008, 2008 R2, 2012 או 2014. שרת הדיווח ואת מנהל הדוחות להיכשל ולהחזיר את הודעת השגיאה הבאה:

השרת הדוח אין אפשרות לפתוח חיבור למסד הנתונים על שרת הדוח. חיבור אל מסד הנתונים נדרשת עבור כל בקשות ועיבוד. (rsReportServerDatabaseUnavailable)

בעיה זו מתרחשת מכיוון SSMS, מנהל הדוחות ומנהל דיווח שירותי תצורה להשתמש ADO.NET, תמיכה ADO.NET עבור TLS 1.2 זמינה רק ב- 4.6 Framework של .NET. עבור גירסאות קודמות של .NET Framework, עליך להחיל עדכון של Windows כך ADO.NET יכול לתמוך TLS 1.2 תקשורת עבור הלקוח. העדכונים Windows המאפשרים TLS 1.2 תמיכה בגירסאות קודמות של .NET framework רשומים בטבלה בסעיף "כיצד ניתן לדעת אם דרושה לך עדכון זה".

בעיה 2

מנהל קביעת התצורה של שירותי דיווח מדווחת את הודעת השגיאה הבאה גם לאחר ספקי לקוח עודכן לגירסה התומכת TLS 1.2:

לא היתה אפשרות להתחבר לשרת: חיבור אל השרת נוצר בהצלחה, אך לאחר מכן אירעה שגיאה במשך לחיצת היד לפני הכניסה.

Error message

כדי לפתור בעיה זו, עליך ליצור באופן ידני את מפתח הרישום הבא במערכת שמארח את מנהל תצורת שירותי דיווח:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client : "Enabled"=dword:00000001
בעיה 3

התקשורת קצה מוצפנת המשתמשת TLS 1.2 תיכשל כשתשתמש תקשורת מוצפנת עבור קבוצות זמינות או שיקוף מסד נתונים או שירות מתווך ב- SQL Server. הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן השגיאות של SQL:

לחיצת יד של החיבור נכשל. קריאת מערכת ההפעלה נכשלה: 0x80090331 (80090331) (ללקוח ולשרת אין אפשרות לתקשורת, מכיוון שאין ברשותם אלגוריתם משותף.). מצב 56.

לקבלת מידע נוסף אודות בעיה זו, עיין לתקן: התקשורת קצה מוצפנים באמצעות TLS 1.2 נכשלת כאשר אתה משתמש ב- SQL Server .

בעיה 4

שגיאות שונות מתרחשות כאשר אתה מנסה להתקין את SQL Server 2012 או 2014 שרת SQL בשרת בעל TLS 1.2 זמין.

לקבלת מידע נוסף, ראה לתקן: שגיאה בעת התקנת SQL Server 2012 או 2014 שרת SQL בשרת בעל TLS 1.2 זמין .

בעיה 5

חיבור מוצפן עם שיקוף מסד נתונים או קבוצות זמינות אינו פועל בעת שימוש באישור לאחר השבתת כל הפרוטוקולים האחרים מלבד TLS 1.2. הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן שגיאה של שרת SQL:

חיבור מוצפן עם שיקוף מסד נתונים או קבוצות זמינות אינו פועל בעת שימוש באישור לאחר השבתת כל הפרוטוקולים האחרים מלבד TLS 1.2. ייתכן שתבחין אחת מהתופעות הבאות:

סימפטום 1:

הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן שגיאה של שרת SQL:
לחיצת יד של החיבור נכשל. קריאת מערכת ההפעלה נכשלה: 0x80090331 (80090331) (ללקוח ולשרת אין אפשרות לתקשורת, מכיוון שאין ברשותם אלגוריתם משותף.). מצב 58.'
מאפיין בעיה 2:

הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן האירועים של Windows:
שם כניסה: מערכת
מקור: Schannel
תאריך: < תאריך ושעה >
מזהה אירוע: 36888
פעילות קטגוריה: ללא
רמה: שגיאה
מילות מפתח:
משתמש: מערכת
מחשב:---
תיאור:
התראת שגיאה מכרעת נוצר ונשלח אל נקודת הקצה המרוחקת. הדבר עשוי להביא לסיום ההתקשרות. קוד שגיאה מכרעת של שהוגדר בפרוטוקול TLS הוא 40. מצב שגיאה Windows SChannel הוא 1205.

שם כניסה: מערכת
מקור: Schannel
תאריך: < תאריך ושעה >
מזהה אירוע: 36874
פעילות קטגוריה: ללא
רמה: שגיאה
מילות מפתח:
משתמש: מערכת
מחשב:---
תיאור:
בקשת התקשרות TLS 1.2 התקבלה מיישום לקוח מרוחק, אך אף אחת מערכות הצופן הנתמכות על-ידי יישום הלקוח אינה נתמכת על-ידי השרת. בקשת חיבור SSL נכשלה.

בעיה זו מתרחשת מאחר קבוצות זמינות שיקוף מסד הנתונים דורשים אישור שאינו משתמש קבוע אורך אלגוריתמי hash, כגון MD5. אלגוריתמים של hashing אורך קבוע אינם נתמכים ב- TLS 1.2.

לקבלת מידע נוסף, ראה לתקן: תקשורת באמצעות אלגוריתם hash נכשל אם שרת SQL משתמש TLS 1.2 MD5 .

בעיה 6

הגירסאות הבאות של מנגנון מסד הנתונים של שרת SQL מושפעות מבעיה סיום שירות לסירוגין המדווחת ב מאמר Knowledge Base 3146034 . עבור לקוחות להגן על עצמם מפני הבעיה לאחר סיום השירות, אנו ממליצים כי התקנת העדכונים TLS 1.2 עבור שרת SQL של Microsoft המוזכרים במאמר זה אם שרת SQL גירסה שלהם המפורטים בטבלה הבאה.

מהדורת שרת SQLהגירסאות המושפעות
SQL Server 2008 R2 SP3 (x 86 ו- x64)10.50.6537.0
SQL Server 2008 R2 SP2 GDR (IA-64 בלבד)10.50.4046.0
SQL Server 2008 R2 SP2 (IA-64 בלבד)10.50.4343.0
SQL Server 2008 SP4 (x 86 ו- x64)10.0.6543.0
SQL Server 2008 SP3 GDR (IA-64 בלבד)10.0.5544.0
SQL Server 2008 SP3 (IA-64 בלבד)10.0.5894.0
בעיה 7

מסד הנתונים של הדואר אינו פועל עם TLS 1.2. דואר מסד הנתונים נכשל עם השגיאות הבאות:
Microsoft.SqlServer.Management.SqlIMail.Server.Common.BaseException:
לא היתה אפשרות לקרוא את מידע התצורה של דואר מתוך מסד הנתונים.
….

. .Unable כדי להתחיל הפעלת דואר.
לקבלת מידע נוסף, עיין בסעיף שכותרתו תיקונים נוספים הדרושים עבור SQL Server להשתמש TLS 1.2 במאמר זה.

השגיאות הנפוצות שבהן אתה עלול להיתקל כאשר TLS 1.2 עדכונים חסרים הלקוח או השרת

בעיה 1

מנהל התצורה system Center (SCCM) אין אפשרות להתחבר לשרת SQL לאחר הפרוטוקול TLS 1.2 זמין בשרת SQL. במצב זה, תקבל את הודעת השגיאה הבאה:

ספק TCP: חיבור קיים נסגר בכפיה על-ידי המחשב המארח המרוחק

בעיה זו עלולה להתרחש כאשר SCCM משתמש במנהל התקן לקוח מקורית של שרת SQL לא קיים תיקון. כדי לפתור בעיה זו, הורד והתקן את התיקון לקוח מקורית המופיעה תחת המקטע הורדות רכיבי לקוח של מאמר זה. לדוגמה: https://www.microsoft.com/en-us/download/details.aspx?id=50402

תוכל לברר איזה מנהל התקן נעשה שימוש ב- SCCM כדי להתחבר לשרת SQL על-ידי הצגת יומן הרישום של SCCM, כמו בדוגמה הבאה:

[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> *** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>

מאפיינים:

מזהה פריט: 3135244 - סקירה אחרונה: 25 בינו׳ 2017 - תיקון: 1

Microsoft SQL Server 2008 Developer, Microsoft SQL Server 2008 Enterprise, Microsoft SQL Server 2008 R2 Developer, Microsoft SQL Server 2008 R2 Enterprise, Microsoft SQL Server 2008 R2 Service Pack 2, Microsoft SQL Server 2008 R2 Service Pack 3, Microsoft SQL Server 2008 Service Pack 1, Microsoft SQL Server 2008 Service Pack 2, Microsoft SQL Server 2008 Service Pack 3, Microsoft SQL Server 2008 Service Pack 4, Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2012 Developer, Microsoft SQL Server 2012 Enterprise, Microsoft SQL Server 2012 Enterprise Core, Microsoft SQL Server 2012 Service Pack 1, Microsoft SQL Server 2012 Service Pack 2, Microsoft SQL Server 2012 Service Pack 3, Microsoft SQL Server 2012 Standard, Microsoft SQL Server 2012 Web, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Service Pack 1, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2016 Developer, Microsoft SQL Server 2016 Enterprise, Microsoft SQL Server 2016 Enterprise Core, Microsoft SQL Server 2016 Express, Microsoft SQL Server 2016 Standard, Microsoft SQL Server 2016 Web

משוב