Guia de implantação de suporte ao protocolo TLS 1.2 para o System Center 2012 R2

Resumo

Este artigo descreve como habilitar o protocolo TLS versão 1.2 em um ambiente do Microsoft System Center 2012 R2.

Informações adicionais

Para habilitar o protocolo TLS versão 1.2 em seu ambiente do System Center, siga estas etapas:

Instale as atualizações da versão.

Observações
- Instale o pacote cumulativo de atualizações mais recente para todos os componentes do System Center antes de aplicar o Pacote Cumulativo de Atualizações 14.
  - Para o Data Protection Manager e o Virtual Machine Manager, instale o Pacote Cumulativo de Atualizações 13.
  - Para a Automação de Gerenciamento de Serviços, instale o Pacote Cumulativo de Atualizações 7.
  - Para o System Center Orchestrator, instale o Pacote Cumulativo de Atualizações 8.
  - Para o Service Provider Foundation, instale o Pacote Cumulativo de Atualizações 12.
  - Para Service Manager, instale o Pacote Cumulativo de Atualizações 9.
Verifique se a configuração é tão funcional quanto antes de aplicar as atualizações. Por exemplo, verifique se você pode iniciar o console.
Altere as definições de configuração para habilitar o TLS 1.2.
Verifique se todos os serviços SQL Server necessários estão em execução.

Instalar atualizações

Atividade de atualização	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Verifique se todas as atualizações de segurança atuais estão instaladas para Windows Server 2012 R2	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Verifique se o .NET Framework 4.6 está instalado em todos os componentes do System Center	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Instalar a atualização SQL Server necessária que dá suporte ao TLS 1.2	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Instalar as atualizações necessárias do System Center 2012 R2	Sim	Não	Sim	Sim	Não	Não	Sim
Verifique se os certificados assinados pela AC são SHA1 ou SHA2	Sim	Sim	Sim	Sim	Sim	Sim	Sim

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Alterar definições de configuração

Atualização de configuração	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Configuração no Windows para usar apenas o protocolo TLS 1.2	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Configuração no System Center para usar apenas o protocolo TLS 1.2	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Configurações adicionais	Sim	Não	Sim	Sim	Não	Não	Não

.NET Framework

Verifique se o .NET Framework 4.6 está instalado em todos os componentes do System Center. Para fazer isso, sigaestas instruções.

Suporte ao TLS 1.2

Instale a atualização SQL Server necessária que dá suporte ao TLS 1.2. Para fazer isso, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

3135244 Suporte ao TLS 1.2 para Microsoft SQL Server

Atualizações necessárias do System Center 2012 R2

SQL Server 2012 Native Client 11.0 deve ser instalado em todos os componentes do System Center a seguir.

Componente	Papel
Operations Manager	Servidor de Gerenciamento e Consoles Web
Virtual Machine Manager	(Não obrigatório)
Orchestrator	Servidor de Gerenciamento
Data Protection Manager	Servidor de Gerenciamento
Service Manager	Servidor de Gerenciamento

Para baixar e instalar o Microsoft SQL Server 2012 Native Client 11.0, consulte esta página da Web do Centro de Download da Microsoft.

Para o System Center Operations Manager e Service Manager, você deve ter o ODBC 11.0 ou o ODBC 13.0 instalado em todos os servidores de gerenciamento.

Instale as atualizações necessárias do System Center 2012 R2 do seguinte artigo da Base de Dados de Conhecimento:

4043306 Descrição do pacote cumulativo de atualizações 14 do Microsoft System Center 2012 R2

Componente	2012 R2
Operations Manager	Pacote Cumulativo de Atualizações 14 para o System Center 2012 R2 Operations Manager
Service Manager	Pacote Cumulativo de Atualizações 14 para o System Center 2012 R2 Service Manager
Orchestrator	Pacote Cumulativo de Atualizações 14 para o System Center 2012 R2 Orchestrator
Data Protection Manager	Pacote Cumulativo de Atualizações 14 para o System Center 2012 R2 Data Protection Manager

Nota Expanda o conteúdo do arquivo e instale o arquivo MSP na função correspondente, exceto o Gerenciador de Proteção de Dados. Para o Gerenciador de Proteção de Dados, instale o .exe arquivo.

Certificados SHA1 e SHA2

Os componentes do System Center agora geram certificados sha1 e sha2 autoassinados. Isso é necessário para habilitar o TLS 1.2. Se forem usados certificados assinados por AC, verifique se os certificados são SHA1 ou SHA2.

Definir o Windows para usar apenas o TLS 1.2

Use um dos métodos a seguir para configurar o Windows para usar apenas o protocolo TLS 1.2.

Método 1: modificar manualmente o registro

Importante: Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça backup do registro para restauração em caso de problemas.

Use as etapas a seguir para habilitar/desabilitar todos os protocolos SCHANNEL em todo o sistema. Recomendamos que você habilite o protocolo TLS 1.2 para comunicações de entrada e habilite os protocolos TLS 1.2, TLS 1.1 e TLS 1.0 para todas as comunicações de saída.

Observação Fazer essas alterações no Registro não afeta o uso de protocolos Kerberos ou NTLM.

Inicie o Editor do Registro. Para fazer isso, clique com o botão direito do mouse em Iniciar, digite regedit na caixa Executar e selecione OK.
Localize a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Clique com o botão direito do mouse na chave de protocolo, aponte para Novo e clique em Chave.
Digite SSL 3 e pressione Enter.
Repita as etapas 3 e 4 para criar chaves para TLS 0, TLS 1.1 e TLS 1.2. Essas chaves são semelhantes a diretórios.
Crie uma chave de cliente e uma chave de servidor em cada uma das chaves SSL 3, TLS 1.0, TLS 1.1 e TLS 1.2.
Para habilitar um protocolo, crie o valor DWORD em cada chave de Cliente e Servidor da seguinte maneira:

DisabledByDefault [Valor = 0]
Habilitado [Valor = 1]
Para desabilitar um protocolo, altere o valor DWORD em cada chave cliente e servidor da seguinte maneira:

DisabledByDefault [Valor = 1]
Habilitado [Valor = 0]
No menu Arquivo , selecione Sair.

Método 2: modificar automaticamente o registro

Execute o seguinte script Windows PowerShell no modo Administrador para configurar automaticamente o Windows para usar apenas o protocolo TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Definir o System Center para usar apenas o TLS 1.2

Defina o System Center para usar apenas o protocolo TLS 1.2. Para fazer isso, primeiro verifique se todos os pré-requisitos foram atendidos. Em seguida, defina as seguintes configurações nos componentes do System Center e em todos os outros servidores nos quais os agentes estão instalados.

Use um dos métodos a seguir.

Método 1: modificar manualmente o registro

Importante: Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça backup do registro para restauração em caso de problemas.

Para habilitar a instalação para dar suporte ao protocolo TLS 1.2, siga estas etapas:

Inicie o Editor do Registro. Para fazer isso, clique com o botão direito do mouse em Iniciar, digite regedit na caixa Executar e selecione OK.
Localize a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Crie o seguinte valor DWORD nesta chave:

SchUseStrongCrypto [Valor = 1]
Localize a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Crie o seguinte valor DWORD nesta chave:

SchUseStrongCrypto [Valor = 1]
Reinicie o sistema.

Método 2: modificar automaticamente o registro

Execute o seguinte script Windows PowerShell no modo Administrador para configurar automaticamente o System Center para usar apenas o protocolo TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Configurações adicionais

Operations Manager

Pacotes de gerenciamento

Importe os pacotes de gerenciamento para o System Center 2012 R2 Operations Manager. Eles estão localizados no diretório a seguir depois que você instala a atualização do servidor:

\Arquivos de Programas\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs para pacotes cumulativos de atualizações

Configurações do ACS

Para o ACS (Serviços de Coleta de Auditoria), você deve fazer alterações adicionais no Registro. O ACS usa o DSN para fazer conexões com o banco de dados. Você deve atualizar as configurações de DSN para torná-las funcionais para o TLS 1.2.

Localize a seguinte subchave para ODBC no Registro.

Nota O nome padrão do DSN é OpsMgrAC.
Na subchave Fontes de Dados ODBC , selecione a entrada para o nome DSN, OpsMgrAC. Isso contém o nome do driver ODBC a ser usado para a conexão de banco de dados. Se você tiver o ODBC 11.0 instalado, altere esse nome para ODBC Driver 11 para SQL Server. Ou, se você tiver o ODBC 13.0 instalado, altere esse nome para ODBC Driver 13 para SQL Server.
Na subchave OpsMgrAC , atualize a entrada driver para a versão do ODBS instalada.
- Se o ODBC 11.0 estiver instalado, altere a entrada do Driver para %WINDIR%\system32\msodbcsql11.dll.
- Se o ODBC 13.0 estiver instalado, altere a entrada do Driver para %WINDIR%\system32\msodbcsql13.dll.
- Como alternativa, crie e salve o arquivo .reg a seguir no Bloco de Notas ou em outro editor de texto. Para executar o arquivo .reg salvo, clique duas vezes no arquivo.
  
  Para o ODBC 11.0, crie o seguinte arquivo ODBC 11.0.reg:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Fontes de Dados ODBC] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Para o ODBC 13.0, crie o seguinte arquivo ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Fontes de Dados ODBC] "OpsMgrAC"="Driver ODBC 13 para SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Proteção TLS no Linux

Siga as instruções no site apropriado para configurar o TLS 1.2 em seu ambiente Red Hat ou Apache .

Data Protection Manager

Para permitir que o Data Protection Manager trabalhe em conjunto com o TLS 1.2 para fazer backup na nuvem, habilite essas etapas no servidor do Data Protection Manager.

Orchestrator

Depois que as atualizações do Orchestrator forem instaladas, reconfigure o banco de dados orchestrator usando o banco de dados existente de acordo com essas diretrizes.

Service Manager

Antes que Service Manager as atualizações do Service Manager sejam instaladas, instale os pacotes necessários e reconfigure os valores de chave do Registro, conforme descrito na seção de instruções "Antes da instalação" do KB 4024037.

Além disso, se você estiver monitorando o System Center Service Manager usando o System Center Operations Manager, atualize para a versão mais recente (v 7.5.7487.89) do Suporte ao Pacote de Gerenciamento de Monitoramento para TLS 1.2.

SMA (Service Management Automation)

Se você estiver monitorando o SMA (Service Management Automation) usando o System Center Operations Manager, atualize para a versão mais recente do Pacote de Gerenciamento de Monitoramento para suporte ao TLS 1.2:

Pacote de Gerenciamento do System Center para System Center 2012 R2 Orchestrator – Service Management Automation

Aviso de isenção de responsabilidade para contatos de terceiros

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar informações adicionais sobre esse tópico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão das informações de contato de terceiros.