Resumo
Este artigo descreve como ativar a versão 1.2 do protocolo Transport Layer Security (TLS) num ambiente do Microsoft System Center 2016.
Mais Informações
Para ativar a versão 1.2 do protocolo TLS no seu ambiente do System Center, siga estes passos:
-
Instale atualizações do lançamento.
Notas-
A Automatização de Gestão de Serviços (SMA) e o Service Provider Foundation (SPF) têm de ser atualizados para a atualização mais recente, uma vez que o UR4 não tem atualizações para estes componentes.
-
Para o Service Management Automation (SMA), atualize para o Rollup 1 de Atualização e atualize também o pacote de gestão SMA (MP) a partir desta página Web do Centro de Transferências da Microsoft.
-
Para o Service Provider Foundation (SPF), atualize para o Rollup 2 de Atualização.
-
System Center Virtual Machine Manager (SCVMM) deve ser atualizado para, pelo menos, Atualizar Rollup 3.
-
-
Certifique-se de que a configuração está tão funcional como antes de ter aplicado as atualizações. Por exemplo, verifique se pode iniciar a consola.
-
Altere as definições de configuração para ativar o TLS 1.2.
-
Certifique-se de que estão a ser SQL Server serviços necessários.
Instalar atualizações
|
Atualizar atividade |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Certifique-se de que todas as atualizações de segurança atuais estão instaladas Windows Server 2012 R2 ou Windows Server 2016 |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
|
Certifique-se de que o .NET Framework 4.6 está instalado em todos os componentes do System Center |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
|
Instalar a atualização SQL Server necessária que suporte TLS 1.2 |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
|
Sim |
Não |
Sim |
Sim |
Não |
Não |
Sim |
|
|
Certifique-se de que os certificados com assinatura de AC são SHA1 ou SHA2 |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Setor (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Alterar definições de configuração
|
Atualização de configuração |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Definição no Windows para utilizar apenas o Protocolo TLS 1.2 |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
|
Definição no System Center para utilizar apenas o Protocolo TLS 1.2 |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
|
Sim |
Não |
Sim |
Sim |
Não |
Não |
Não |
.NET Framework
Certifique-se de que o .NET Framework 4.6 está instalado em todos os componentes do System Center. Para fazê-lo, sigaestas instruções.
Suporte TLS 1.2
Instale a atualização SQL Server necessária que suporte TLS 1.2. Para o fazer, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:
3135244 Suporte do TLS 1.2 para o Microsoft SQL Server
Atualizações necessárias do System Center 2016
SQL Server 2012 Native client 11.0 deve estar instalado em todos os seguintes componentes do System Center.
|
Componente |
Função |
Controlador SQL Obrigatório |
|
Operations Manager |
Servidor de Gestão e Consolas Web |
SQL Server 2012 Cliente nativo 11.0 ou Microsoft OLE DB Driver 18 para SQL Server (recomendado). Note O Microsoft OLE DB Driver 18 for SQL Server é suportado com Operations Manager 2016 UR9 e posterior. |
|
Virtual Machine Manager |
(Não obrigatório) |
(Não obrigatório) |
|
Àrbitro |
Management Server |
SQL Server 2012 Cliente nativo 11.0 ou Microsoft OLE DB Driver 18 para SQL Server (recomendado). Note O Microsoft OLE DB Driver 18 for SQL Server é suportado com o OLE 2016 UR8 e posterior. |
|
Gestor de Proteção de Dados |
Management Server |
SQL Server 2012 Cliente Nativo 11.0 |
|
Service Manager |
Management Server |
SQL Server 2012 Cliente nativo 11.0 ou Microsoft OLE DB Driver 18 para SQL Server (recomendado). Note O Microsoft OLE DB Driver 18 for SQL Server é suportado com Service Manager UR9 2016 e posterior. |
Para transferir e instalar o Microsoft SQL Server 2012 Native Client 11.0, consulte esta página Web do Centro de Transferências da Microsoft.
Para transferir e instalar o Microsoft OLE DB Driver 18, consulte esta página Web do Centro de Transferências da Microsoft.
Para o System Center Operations Manager Service Manager, tem de ter o ODBC 11.0 ou o ODBC 13.0 instalado em todos os servidores de gestão.
Instale as atualizações necessárias do System Center 2016 a partir do seguinte artigo da Base de Dados de Conhecimento:
4043305 Descrição do Rollup de Atualização 4 para o Microsoft System Center 2016
|
Componente |
2016 |
|
Operations Manager |
Atualizar o Rollup 4 para System Center 2016 Operations Manager |
|
Service Manager |
Atualizar o Rollup 4 para System Center 2016 Service Manager |
|
Àrbitro |
Atualizar o Rollup 4 para System Center 2016 |
|
Gestor de Proteção de Dados |
Atualizar o Rollup 4 para o System Center 2016 Data Protection Manager |
Nota Certifique-se de que expande os conteúdos do ficheiro e instale o ficheiro MSP na função correspondente.
Certificados SHA1 e SHA2
Os componentes do System Center geram agora certificados SHA1 e SHA2 autoassinados. Isto é necessário para ativar o TLS 1.2. Se os certificados assinados pela AC são utilizados, certifique-se de que os certificados são SHA1 ou SHA2.
Definir o Windows para utilizar apenas TLS 1.2
Utilize um dos seguintes métodos para configurar o Windows para utilizar apenas o protocolo TLS 1.2.
Método 1: modificar manualmente o registo
Importante
Siga cuidadosamente os passos nesta secção. Poderão ocorrer problemas graves se modificar o registo de forma incorreta. Antes de o modificar, faça uma cópia de segurança do registo para o restaurar caso ocorram problemas.
Utilize os seguintes passos para ativar/desativar todos os protocolos SCHANNEL ao nível do sistema. Recomendamos que ative o protocolo TLS 1.2 para comunicações recebidas; e ative os protocolos TLS 1.2, TLS 1.1 e TLS 1.0 para todas as comunicações de saída.
Note Efetuar estas alterações de registo não afeta a utilização de protocolos Kerberos ou NTLM.
-
Inicie o Editor de Registo. Para fazê-lo, clique com o botão direito do rato em Iniciar, escreva regedit na caixa Executar e, em seguida, clique em OK.
-
Localize a seguinte subconsciente de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Clique com o botão direito do rato na tecla Protocol, aponte para Novo e, em seguida, clique em Chave.
-
Escreva SSL 3 e, em seguida, prima Enter.
-
Repita os passos 3 e 4 para criar teclas para o TLS 0, TLS 1.1 e TLS 1.2. Estas chaves assemellham-se a diretórios.
-
Crie uma chave Cliente e uma chave Servidor em cada uma das teclas SSL 3, TLS 1.0, TLS 1.1 e TLS 1.2 .
-
Para ativar um protocolo, crie o valor DWORD em cada chave Cliente e Servidor da seguinte forma:
DisabledByDefault [Value = 0]
Ativado [Valor = 1]
Para desativar um protocolo, altere o valor DWORD em cada chave Cliente e Servidor da seguinte forma:DisabledByDefault [Valor = 1]
Ativado [Valor = 0] -
No menu Ficheiro , clique em Sair.
Método 2: modificar automaticamente o registo
Execute o seguinte script Windows PowerShell no modo Administrador para configurar automaticamente o Windows para utilizar apenas o Protocolo TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Definir o System Center para utilizar apenas TLS 1.2
Defina o System Center para utilizar apenas o protocolo TLS 1.2. Para o fazer, primeiro certifique-se de que todos os pré-requisitos são cumpridos. Em seguida, faça as seguintes definições nos componentes do System Center e em todos os outros servidores nos quais os agentes estão instalados.
Utilize um dos seguintes métodos.
Método 1: modificar manualmente o registo
Importante
Siga cuidadosamente os passos nesta secção. Poderão ocorrer problemas graves se modificar o registo de forma incorreta. Antes de o modificar, faça uma cópia de segurança do registo para o restaurar caso ocorram problemas.
Para ativar a instalação para suportar o protocolo TLS 1.2, siga estes passos:
-
Inicie o Editor de Registo. Para fazê-lo, clique com o botão direito do rato em Iniciar, escreva regedit na caixa Executar e, em seguida, clique em OK.
-
Localize a seguinte subconsciente de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Crie o seguinte valor DWORD abaixo desta chave:
SchUseStrongCrypto [Valor = 1]
-
Localize a seguinte subconsciente de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Crie o seguinte valor DWORD abaixo desta chave:
SchUseStrongCrypto [Valor = 1]
-
Reinicie o sistema.
Método 2: modificar automaticamente o registo
Execute o seguinte script Windows PowerShell no modo Administrador para configurar automaticamente o System Center para utilizar apenas o Protocolo TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Definições adicionais
Operations Manager
Pacotes de Gestão
Importe os pacotes de gestão para o System Center 2016 Operations Manager. Estes encontram-se no seguinte diretório depois de instalar a atualização do servidor:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs para Rollups de Atualização
Definições de ACS
Para os Serviços de Coleção de Auditoria (ACS), tem de fazer alterações adicionais no registo. O ACS utiliza o DSN para fazer ligações à base de dados. Tem de atualizar as definições de DSN para que funcionam no TLS 1.2.
-
Localize a seguinte subconta para o ODBC no registo.
Nota O nome predefinido de DSN é OpsMgrAC.
-
Na subchava Origens de Dados ODBC, selecione a entrada para o nome DSN, OpsMgrAC. Contém o nome do controlador ODBC a ser utilizado para a ligação de base de dados. Se tiver o ODBC 11.0 instalado, altere este nome para ODBC Driver 11 para SQL Server. Se tiver o ODBC 13.0 instalado, altere este nome para ODBC Driver 13 para SQL Server.
-
Na subchava OpsMgrAC, atualize a entrada Controlador da versão ODBS instalada.
-
Se o ODBC 11.0 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql11.dll.
-
Se o ODBC 13.0 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql13.dll.
-
Em alternativa, crie e guarde o seguinte ficheiro .reg no Bloco de Notas ou noutro editor de texto. Para executar o ficheiro .reg guardado, faça duplo clique no ficheiro.
Para o ODBC 11.0, crie o seguinte ficheiro ODBC 11.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\origens de dados ODBC] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Para o ODBC 13.0, crie o seguinte ficheiro ODBC 13.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\origens de dados ODBC] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Endireitação TLS no Linux
Siga as instruções no Web site adequado para configurar o TLS 1.2 no seu ambiente red Hat ou Apache .
Gestor de Proteção de Dados
Para permitir que o Gestor de Proteção de Dados trabalhe em conjunto com o TLS 1.2 para fazer uma back-up para a nuvem, ative estes passos no servidor do Gestor de Proteção de Dados.
Àrbitro
Depois de instalar as atualizações do Editor, reconfigure a base de dados Do Gliglisor ao utilizar a base de dados existente de acordo com estas diretrizes.
Exclusão de exclusão de licite de contacto de terceiros
A Microsoft fornece informações de contacto de terceiros para o ajudar a encontrar informações adicionais sobre este tópico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante a precisão das informações de contacto de terceiros.
