Kopsavilkums

Šajā rakstā aprakstīts, kā iespējot transporta slāņa drošības (TLS) protokola versiju 1,2 Microsoft System Center 2016 vidē.

Papildinformācija

Lai iespējotu TLS protokola versiju 1,2 sistēmas centra vidē, veiciet tālāk norādītās darbības.

  1. Instalējiet atjauninājumus no laidiena. Piezīmes.

  2. Pārliecinieties, vai iestatījums ir funkcionāls, kā tas bija pirms atjauninājumu lietošanas. Piemēram, pārbaudiet, vai varat sākt konsoli.

  3. Mainiet konfigurācijas iestatījumus , lai iespējotu TLS 1,2.

  4. Pārliecinieties, vai ir palaisti visi nepieciešamie SQL Server pakalpojumi.

Atjauninājumu instalēšana

Atjaunināšanas aktivitāte

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Pārliecinieties, vai visi pašreizējie drošības atjauninājumi ir instalēti windows Server 2012 R2 vai windows Server 2016 

Pārliecinieties, vai .NET Framework 4,6 ir instalēta visos sistēmas centra komponentos.

 

 

Instalējiet nepieciešamo SQL Server atjauninājumu, kas atbalsta TLS 1,2

Instalējiet nepieciešamos sistēmas centra 2016 atjauninājumus

Pārliecinieties, vai šie sertificēšanas iestādes sertifikāti ir vai nu SHA1, vai SHA2

1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manager (SCVMM) 3 System Center datu aizsardzības pārvaldnieks (SCDPM) 4 Sistēmas centra organizētājs (SCO) 5 Pakalpojumu pārvaldības automatizācija (SMA) 6 Pakalpojumu sniedzēja Foundation (SPF) 7 Pakalpojumu vadītājs (SM)

Konfigurācijas iestatījumu maiņa

Konfigurācijas atjauninājums

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Iestatīšana operētājsistēmā Windows, lai izmantotu tikai TLS 1,2 protokolu

Iestatījumu sistēmas centrā, lai izmantotu tikai TLS 1,2 protokolu

Papildu iestatījumi

.NET Framework 

Pārliecinieties, vai .NET Framework 4,6 ir instalēta visos sistēmas centra komponentos. Lai to izdarītu, veiciettālāk norādītās instrukcijas.

TLS 1,2 atbalsts

Instalējiet nepieciešamo SQL Server atjauninājumu, kas atbalsta TLS 1,2. Lai to izdarītu, skatiet šo rakstu Microsoft zināšanu bāzē:

3135244 TLS 1,2 atbalsts Microsoft SQL Server

Nepieciešamie sistēmas centra 2016 atjauninājumi

SQL Server 2012 Native Client 11,0 ir jāinstalē visos tālāk norādītajos sistēmas centra komponentos.

Komponents

Lomu

Nepieciešamais SQL draiveris

Darbību pārvaldnieks

Pārvaldības serveris un tīmekļa konsoles

SQL Server 2012 Native Client 11,0 vai Microsoft OLE DB Driver 18 for SQL Server (ieteicams).

Piezīme. Microsoft OLE DB Driver 18 for SQL Server atbalsta Operation Manager 2016 UR9 un jaunākās versijās.

Virtuālā datora pārvaldnieks

(Nav obligāti)

(Nav obligāti)

Orchestrator

Pārvaldības serveris

SQL Server 2012 Native Client 11,0 vai Microsoft OLE DB Driver 18 for SQL Server (ieteicams).

Piezīme. Microsoft OLE DB draiveris 18 SQL Server tiek atbalstīts ar 2016 UR8 un jaunākām versijām.

Datu aizsardzības pārvaldnieks

Pārvaldības serveris

SQL Server 2012 vietējais klients 11,0

Pakalpojumu pārvaldnieks

Pārvaldības serveris

SQL Server 2012 Native Client 11,0 vai Microsoft OLE DB Driver 18 for SQL Server (ieteicams).

Piezīme. Microsoft OLE DB draiveris 18 for SQL Server tiek atbalstīts pakalpojumu pārvaldnieka 2016 UR9 un jaunākās versijās.

Lai lejupielādētu un instalētu Microsoft SQL Server 2012 Native Client 11,0, skatiet šo Microsoft lejupielādes centra tīmekļa lapu.

Lai lejupielādētu un instalētu Microsoft OLE DB draiveri 18, skatiet šo Microsoft lejupielādes centra tīmekļa lapu.

Sistēmas centra operāciju pārvaldnieka un pakalpojumu pārvaldnieka gadījumā ir jābūt instalētam odbc 11,0 vai ODBC 13,0 visās pārvaldības serveros.

Instalējiet nepieciešamos sistēmas centra 2016 atjauninājumus no šī zināšanu bāzes raksta:

4043305 Microsoft System Center 2016 atjauninājumu apkopojuma 4 apraksts  

Komponents

2016

Darbību pārvaldnieks

4. atjauninājumu apkopojums System Center 2016 Operations Manager

Pakalpojumu pārvaldnieks

4. atjauninājumu apkopojums System Center 2016 pakalpojumu pārvaldniekam

Orchestrator

4. atjauninājumu apkopojums System Center 2016 instrumentāciju

Datu aizsardzības pārvaldnieks

4. atjauninājumu apkopojums sistēmas centra 2016 datu aizsardzības pārvaldniekam

Piezīme. Pārliecinieties, vai esat izvērsiet failu saturu un instalējat MSP failu atbilstošajā lomā.

SHA1 un SHA2 sertifikāti

Sistēmas centra komponenti tagad ģenerē gan SHA1, gan SHA2 pašparakstītus sertifikātus. Tas ir nepieciešams, lai iespējotu TLS 1,2. Ja tiek izmantoti ar ciparparakstu sertifikāti, pārliecinieties, vai sertifikāti ir vai nu SHA1, vai SHA2.

Windows iestatīšana, lai izmantotu tikai TLS 1,2

Izmantojiet kādu no tālāk norādītajām metodēm, lai konfigurētu Windows un izmantotu tikai TLS 1,2 protokolu.

1. metode: manuāla reģistra modificēšana

Svarīgi! Precīzi izpildiet šajā sadaļā sniegtos norādījumus. Nepareizi modificējot reģistru, var rasties nopietnas problēmas. Pirms tās modificēšanas dublējiet reģistru atjaunošanai gadījumam, ja rodas problēmas.

Veiciet tālāk norādītās darbības, lai iespējotu/atspējotu visu faila Schannel protokolu sistēmas mērogu. Iesakām iespējot TLS 1,2 protokolu ienākošajām komunikācijām; un iespējojiet TLS 1,2, TLS 1,1 un TLS 1,0 protokolus visiem izejošajiem paziņojumiem.

Piezīme. Veicot šīs reģistra izmaiņas, neietekmē Kerberos vai NTLM protokolu izmantošanu.

  1. Startējiet reģistra redaktoru. Lai to izdarītu, ar peles labo pogu noklikšķiniet uz Sākums, lodziņā palaist ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet šo reģistra apakšatslēgu:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Ar peles labo pogu noklikšķiniet uz protokola atslēgas, norādiet uz Jaunsun pēc tam noklikšķiniet uz atslēga. Registry

  4. Ierakstiet SSL 3un pēc tam nospiediet taustiņu ENTER.

  5. Atkārtojiet 3. un 4. darbību, lai izveidotu atslēgas TLS 0, TLS 1,1 un TLS 1,2. Šie taustiņi atgādina direktorijus.

  6. Izveidojiet klienta atslēgu un servera atslēgu atbilstoši katram SSL 3, tls 1,0, TLS 1,1un TLS 1,2 taustiņiem.

  7. Lai iespējotu protokolu, izveidojiet DWORD vērtību zem katra klienta un servera atslēgas, veicot tālāk norādītās darbības.

    DisabledByDefault [vērtība = 0] Iespējots [vērtība = 1] Lai atspējotu protokolu, mainiet DWORD vērtību zem katra klienta un servera atslēgas, veicot tālāk norādītās darbības.

    DisabledByDefault [vērtība = 1] Iespējots [vērtība = 0]

  8. Izvēlnē Fails noklikšķiniet uz Iziet.

2. metode: automātiski modificēt reģistru

Palaidiet tālāk norādīto Windows PowerShell skriptu administratora režīmā, lai automātiski konfigurētu Windows un izmantotu tikai TLS 1,2 protokolu:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Sistēmas centra iestatīšana, lai izmantotu tikai TLS 1,2

Iestatiet sistēmas centru, lai izmantotu tikai TLS 1,2 protokolu. Lai to izdarītu, vispirms pārliecinieties, vai visi priekšnosacījumi ir ievēroti. Pēc tam veiciet tālāk norādītos iestatījumus sistēmas centra komponentos un citos serveros, kuros ir instalēti aģenti.

Izmantojiet kādu no tālāk norādītajām metodēm.

1. metode: manuāla reģistra modificēšana

Svarīgi! Precīzi izpildiet šajā sadaļā sniegtos norādījumus. Nepareizi modificējot reģistru, var rasties nopietnas problēmas. Pirms tās modificēšanas dublējiet reģistru atjaunošanai gadījumam, ja rodas problēmas.

Lai iespējotu instalēšanu, kas atbalsta TLS 1,2 protokolu, veiciet tālāk norādītās darbības.

  1. Startējiet reģistra redaktoru. Lai to izdarītu, ar peles labo pogu noklikšķiniet uz Sākums, lodziņā palaist ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet šo reģistra apakšatslēgu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Šajā atslēgā izveidojiet šādu DWORD vērtību:

    SchUseStrongCrypto [vērtība = 1]

  4. Atrodiet šo reģistra apakšatslēgu:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Šajā atslēgā izveidojiet šādu DWORD vērtību:

    SchUseStrongCrypto [vērtība = 1]

  6. Restartējiet sistēmu.

2. metode: automātiski modificēt reģistru

Palaidiet tālāk norādīto Windows PowerShell skriptu administratora režīmā, lai automātiski konfigurētu sistēmas centru un izmantotu tikai TLS 1,2 protokolu:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Papildu iestatījumi

Darbību pārvaldnieks

Pārvaldības pakotnes

Importējiet pārvaldības pakotnes sistēmas centra 2016 operāciju pārvaldniekā. Pēc servera atjauninājuma instalēšanas tie atrodas šajā direktorijā:

\Program Faili\microsoft System Center 2016 \ Operations Manager\Server\Management Packs atjauninājumu apkopojumiem

ACS iestatījumi

Audita kolekcijas pakalpojumu (ACS) gadījumā jāveic papildu izmaiņas reģistrā. ACS izmanto DSN, lai padarītu datu bāzi par savienojumiem. Jums ir jāatjaunina DSN iestatījumi, lai tos funkcionētu TLS 1,2.

  1. Atrodiet šo apakšatslēgu ODBC reģistrā. Piezīme. DSN noklusējuma nosaukums ir OpsMgrAC. ODBC. INI apakšatslēgas

  2. Sadaļā ODBC datu avoti apakšatslēgā atlasiet DSN nosaukuma ierakstu OpsMgrAC. Tas satur tā ODBC draivera nosaukumu, kas jāizmanto datu bāzes savienojumam. Ja jums ir instalēta ODBC 11,0, nomainiet šo nosaukumu uz ODBC Driver 11 SQL Server. Vai, ja jums ir instalēta ODBC 13,0, nomainiet šo nosaukumu uz ODBC Driver 13 SQL Server. ODBC datu avotu apakšatslēgas

  3. OpsMgrAC apakšatslēgā atjauniniet draivera ierakstu ODBS versijai, kas ir instalēta. OpsMgrAC apakšatslēgas

    • Ja ir instalēts ODBC 11,0, mainiet draivera ierakstu uz %windir%\system32\msodbcsql11.dll.

    • Ja ir instalēts ODBC 13,0, mainiet draivera ierakstu uz %windir%\system32\msodbcsql13.dll.

    • Varat arī izveidot un saglabāt šo. reg failu Piezīmjblokā vai citā teksta redaktorā. Lai paveiktu saglabāto. reg failu, veiciet dubultklikšķi uz faila. Ja jums ir odbc 11,0, izveidojiet šādu ODBC 11,0. reg failu:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Ja jums ir odbc 13,0, izveidojiet tālāk norādīto ODBC 13.0. reg failu:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS sacietēšana Linux

Izpildiet norādījumus atbilstošajā tīmekļa vietnē, lai konfigurētu TLS 1,2 uz sarkanās cepures vai Apache vides.

Datu aizsardzības pārvaldnieks

Lai iespējotu datu aizsardzības pārvaldnieka darbību kopā ar TLS 1,2, lai pārietu atpakaļ uz mākoni, iespējojiet tālāk norādītās darbības datu aizsardzības pārvaldnieka serverī.

Orchestrator

Pēc tam, kad ir instalēti instrumentācijas atjauninājumi, atkārtoti konfigurējiet instrumentāciju datu bāzi, izmantojot esošo datu bāzi atbilstoši šīm vadlīnijām.

 

Trešo pušu kontaktinformācijas atruna

Microsoft nodrošina trešo pušu kontaktinformāciju, lai palīdzētu jums atrast papildinformāciju par šo tēmu. Šī kontaktinformācija var tikt mainīta, nebrīdinot. Microsoft negarantē trešo pušu kontaktinformācijas precizitāti.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar tulkojuma kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×