סיכום

מאמר זה מתאר כיצד להפוך את פרוטוקול אבטחת שכבת התעבורה (TLS) לזמין גירסה 1.2 בסביבת Microsoft System Center 2016.

מידע נוסף

כדי להפוך את הפרוטוקול TLS לזמין גירסה 1.2 בסביבת מרכז המערכת שלך, בצע את הפעולות הבאות:

  1. התקן עדכונים מההפצה. הערות

  2. ודא שההתקנה היא פונקציונאלית כפי שהייתה לפני שהחלת את העדכונים. לדוגמה, בדוק אם באפשרותך להפעיל את המסוף.

  3. שנה את הגדרות התצורה כדי להפוך את TLS 1.2 לזמין.

  4. ודא שכל השירותים הדרושים של SQL Server פועלים.

התקנת עדכונים

עדכון פעילות

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

ודא שכל עדכוני האבטחה הנוכחיים מותקנים עבור windows Server 2012 R2 או windows server 2016 

כן

כן

כן

כן

כן

כן

כן

ודא ש-.NET Framework 4.6 מותקן בכל רכיבי מרכז המערכת

כן

 

כן

 

כן

כן

כן

כן

כן

התקן את העדכון הנדרש של SQL Server התומך ב-TLS 1.2

כן

כן

כן

כן

כן

כן

כן

התקנת העדכונים הדרושים של מרכז המערכת 2016

כן

לא

כן

כן

לא

לא

כן

ודא שאישורי CA חתומים הם מסוג SHA1 או SHA2

כן

כן

כן

כן

כן

כן

כן

1 מנהל הפעולות של מרכז המערכת (SCOM) 2 מנהל מחשב וירטואלי של מרכז המערכת (SCVMM) 3 מנהל הגנת נתונים של מרכז המערכת (SCDPM) 4 מרכז המערכת Orchestrator () 5 אוטומציה של ניהול שירותים (SMA) 6 קרן ספק שירותים (SPF) 7 מנהל שירות (SM)

שינוי הגדרות תצורה

עדכון תצורה

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

הגדרה ב-Windows לשימוש רק בפרוטוקול TLS 1.2

כן

כן

כן

כן

כן

כן

כן

הגדרה במרכז המערכת לשימוש רק בפרוטוקול TLS 1.2

כן

כן

כן

כן

כן

כן

כן

הגדרות נוספות

כן

לא

כן

כן

לא

לא

לא

.NET framework 

ודא ש-.NET Framework 4.6 מותקן בכל רכיבי מרכז המערכת. כדי לעשות זאת, בצע אתההוראות הבאות.

תמיכה ב-TLS 1.2

התקן את העדכון הנדרש של SQL Server התומך ב-TLS 1.2. כדי לבצע פעולה זו, עיין במאמר הבא במאגר הידע Microsoft Knowledge Base:

3135244 תמיכה ב-TLS 1.2 עבור Microsoft SQL Server

עדכונים דרושים של מרכז המערכת 2016

יש להתקין את SQL Server 2012 מקורי לקוח 11.0 בכל הרכיבים הבאים של מרכז המערכת.

רכיב

תפקיד

נדרש מנהל התקן SQL

מנהל התפעול

שרת ניהול ומסופים באינטרנט

SQL Server 2012 מקורי לקוח 11.0 או מנהל התקן של Microsoft OLE DB 18 עבור SQL Server (מומלץ).

הערה מנהל התקן של Microsoft OLE DB 18 עבור SQL Server נתמך עם מנהל הפעולות 2016 UR9 ואילך.

מנהל מחשב וירטואלי

(לא נדרש)

(לא נדרש)

Orchestrator

שרת ניהול

SQL Server 2012 מקורי לקוח 11.0 או מנהל התקן של Microsoft OLE DB 18 עבור SQL Server (מומלץ).

הערה מנהל התקן של Microsoft OLE DB 18 עבור SQL Server נתמך עם Orchestrator 2016 UR8 ואילך.

מנהל הגנה על נתונים

שרת ניהול

לקוח מקורי של SQL Server 2012 11.0

מנהל שירות

שרת ניהול

SQL Server 2012 מקורי לקוח 11.0 או מנהל התקן של Microsoft OLE DB 18 עבור SQL Server (מומלץ).

הערה מנהל התקן של Microsoft OLE DB 18 עבור SQL Server נתמך עם מנהל השירות 2016 UR9 ואילך.

כדי להוריד ולהתקין את Microsoft SQL Server 2012 לקוח מקורי 11.0, ראה דף אינטרנט זה במרכז ההורדות של microsoft.

כדי להוריד ולהתקין את מנהל ההתקן של Microsoft OLE DB 18, ראה דף אינטרנט זה של מרכז ההורדות של microsoft.

עבור מנהל התפעול ומנהל השירות של מרכז המערכת, עליך להתקין את odbc 11.0 או את odbc 13.0 בכל שרתי הניהול.

התקן את העדכונים הנדרשים של מרכז המערכת 2016 מתוך מאמר מאגר הידע הבא:

4043305 תיאור של אוסף עדכונים 4 עבור Microsoft System Center 2016  

רכיב

2016

מנהל התפעול

אוסף עדכונים 4 עבור מנהל הפעולות של מרכז המערכת של 2016

מנהל שירות

אוסף עדכונים 4 עבור מנהל השירות של מרכז המערכת של 2016

Orchestrator

אוסף עדכונים 4 עבור מרכז המערכת 2016 Orchestrator

מנהל הגנה על נתונים

אוסף עדכונים 4 עבור מנהל הגנת הנתונים של מרכז המערכת 2016

הערה הקפד להרחיב את תוכן הקובץ ולהתקין את קובץ ה-MSP בתפקיד המתאים.

אישורים מסוג SHA1 ו-SHA2

רכיבי מרכז המערכת מייצרים כעת גם אישורים בעלי חתימה עצמית של SHA1 וגם SHA2. פעולה זו נדרשת להפיכת TLS 1.2 לזמין. אם נעשה שימוש באישורים בעלי חתימת CA, ודא שהאישורים הם מסוג SHA1 או SHA2.

הגדר את Windows לשימוש רק ב-TLS 1.2

השתמש באחת מהשיטות הבאות כדי לקבוע את התצורה של Windows לשימוש בפרוטוקול TLS 1.2 בלבד.

שיטה 1: שינוי ידני של הרישום

חשוב בצע את השלבים בסעיף זה בעיון. בעיות רציניות עשויות להתרחש אם תשנה את הרישום באופן שגוי. לפני שתשנה אותו, גבה את הרישום לשחזור במקרה שיתרחשו בעיות.

השתמש בשלבים הבאים כדי להפעיל/לבטל את כל הפרוטוקולים של SCHANNEL בכל המערכת. אנו ממליצים להפוך את פרוטוקול TLS 1.2 לזמין עבור תקשורת נכנסת; והפעל את הפרוטוקולים TLS 1.2, TLS 1.1 ו-TLS 1.0 עבור כל התקשורת היוצאת.

הערה ביצוע שינויים אלה ברישום אינו משפיע על השימוש בפרוטוקולים של Kerberos או NTLM.

  1. הפעל את עורך הרישום. לשם כך, לחץ באמצעות לחצן העכבר הימני על התחל, הקלד regedit בתיבה הפעלה ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא של הרישום:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. לחץ באמצעות לחצן העכבר הימני על מקש הפרוטוקול , הצבע על חדשולאחר מכן לחץ על מקש. Registry

  4. הקלד SSL 3ולאחר מכן הקש Enter.

  5. חזור על שלבים 3 ו-4 כדי ליצור מקשים עבור TLS 0, TLS 1.1 ו-TLS 1.2. מקשים אלה דומים לספריות.

  6. צור מפתח לקוח ומפתח שרת תחת כל אחד מהמפתחות של SSL 3, Tls 1.0, tls 1.1ו- tls 1.2 .

  7. כדי להפוך פרוטוקול לזמין, צור את ערך ה-DWORD תחת כל לקוח ומפתח שרת באופן הבא:

    DisabledByDefault [Value = 0] זמין [Value = 1] כדי להפוך פרוטוקול ללא זמין, שנה את ערך ה-DWORD תחת כל לקוח ומפתח שרת באופן הבא:

    DisabledByDefault [Value = 1] זמין [Value = 0]

  8. בתפריט קובץ , לחץ על יציאה.

שיטה 2: שינוי אוטומטי של הרישום

הפעל את קובץ ה-script הבא של Windows PowerShell במצב מנהל המערכת כדי לקבוע את תצורת Windows באופן אוטומטי לשימוש בפרוטוקול TLS 1.2 בלבד:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

הגדרת מרכז המערכת לשימוש רק ב-TLS 1.2

הגדר את מרכז המערכת כדי להשתמש רק בפרוטוקול TLS 1.2. לשם כך, ודא תחילה שכל הדרישות המוקדמות נפגשות. לאחר מכן, צור את ההגדרות הבאות ברכיבי מרכז המערכת ובכל השרתים האחרים שעליהם מותקנות הסוכנים.

השתמש באחת מהשיטות הבאות.

שיטה 1: שינוי ידני של הרישום

חשוב בצע את השלבים בסעיף זה בעיון. בעיות רציניות עשויות להתרחש אם תשנה את הרישום באופן שגוי. לפני שתשנה אותו, גבה את הרישום לשחזור במקרה שיתרחשו בעיות.

כדי לאפשר להתקנה לתמוך בפרוטוקול TLS 1.2, בצע את הפעולות הבאות:

  1. הפעל את עורך הרישום. לשם כך, לחץ באמצעות לחצן העכבר הימני על התחל, הקלד regedit בתיבה הפעלה ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא של הרישום:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. צור את ערך DWORD הבא תחת מפתח זה:

    SchUseStrongCrypto [Value = 1]

  4. אתר את מפתח המשנה הבא של הרישום:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. צור את ערך DWORD הבא תחת מפתח זה:

    SchUseStrongCrypto [Value = 1]

  6. הפעל מחדש את המערכת.

שיטה 2: שינוי אוטומטי של הרישום

הפעל את קובץ ה-script הבא של Windows PowerShell במצב מנהל כדי לקבוע את תצורת מרכז המערכת באופן אוטומטי כדי להשתמש רק בפרוטוקול TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

הגדרות נוספות

מנהל התפעול

ערכות ניהול

יבא את ערכות הניהול עבור מנהל הפעולות של מרכז המערכת של 2016. אלה ממוקמים במדריך הבא לאחר התקנת עדכון השרת:

\Program Files\Microsoft System Center 2016 \ Manager\Server\Management Packs עבור אוספי עדכונים

הגדרות ACS

עבור שירותי אוסף ביקורת (ACS), עליך לבצע שינויים נוספים ברישום. ACS משתמש ב-DSN כדי ליצור חיבורים למסד הנתונים. עליך לעדכן את הגדרות DSN כדי להעניק להן פונקציונליות עבור TLS 1.2.

  1. אתר את מפתח המשנה הבא עבור ODBC ברישום. הערה שם ברירת המחדל של DSN הוא OpsMgrAC. ODBC. INI המשנה

  2. במפתח משנה של מקורות נתונים של ODBC , בחר את הערך עבור שם DSN, OpsMgrAC. פעולה זו מכילה את השם של מנהל התקן ODBC שישמש עבור חיבור מסד הנתונים. אם מותקן אצלך ODBC 11.0, שנה שם זה ל- ODBC Driver 11 עבור SQL Server. לחלופין, אם התקנת את ODBC 13.0, שנה שם זה ל- ODBC Driver 13 עבור SQL Server. מפתח המשנה של מקורות נתונים של ODBC

  3. במפתח המשנה של OpsMgrAC , עדכן את ערך מנהל ההתקן עבור גירסת ODBS המותקנת. מפתח המשנה OpsMgrAC

    • אם ODBC 11.0 מותקן, שנה את ערך מנהל ההתקן ל- %WINDIR%\system32\msodbcsql11.dll.

    • אם ODBC 13.0 מותקן, שנה את ערך מנהל ההתקן ל- %WINDIR%\system32\msodbcsql13.dll.

    • לחלופין, צור ושמור את קובץ ה-. reg הבא בפנקס הרשימות או בעורך טקסט אחר. כדי להפעיל את קובץ ה-. reg שנשמר, לחץ פעמיים על הקובץ. עבור odbc 11.0, צור את קובץ ה-odbc 11.0. reg הבא:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" עבור odbc 13.0, צור את קובץ ה-odbc 13.0. reg הבא:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

התקשות TLS ב-Linux

בצע את ההוראות באתר האינטרנט המתאים כדי לקבוע את התצורה של TLS 1.2 בסביבת כובע אדום או אפאצ'י .

מנהל הגנה על נתונים

כדי לאפשר למנהל הגנת הנתונים לפעול יחד עם TLS 1.2 כדי לחזור לענן, הפוך שלבים אלה לזמינים בשרת מנהל הגנת הנתונים.

Orchestrator

לאחר התקנת העדכונים של Orchestrator, קבע את תצורת מסד הנתונים של Orchestrator באמצעות מסד הנתונים הקיים בהתאם להנחיות אלה.

 

כתב ויתור של ספק חיצוני

Microsoft מספקת פרטי קשר של ספקים חיצוניים שיעזרו לך למצוא מידע נוסף אודות נושא זה. פרטי קשר אלו עשויים להשתנות ללא הודעה. Microsoft אינה מבטיחה את הדיוק של פרטי קשר של ספק חיצוני.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך

סייר בהדרכה >

קבל תכונות חדשות לפני כולם

הצטרף למשתתפי Microsoft insider >

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלכם?

תודה על המשוב!

×