Applies To.NET Framework 4.6.2 System Center 2016 Data Protection Manager System Center 2016 Operations Manager System Center 2016 Virtual Machine Manager System Center Service Management Automation, version 1807 System Center Service Provider Foundation, version 1807

Resumo

Este artigo descreve como ativar a versão 1.2 do protocolo Transport Layer Security (TLS) num ambiente do Microsoft System Center 2016.

Mais Informações

Para ativar a versão 1.2 do protocolo TLS no seu ambiente do System Center, siga estes passos:

  1. Instale atualizações do lançamento.Notas

    • A Automatização de Gestão de Serviços (SMA) e o Service Provider Foundation (SPF) têm de ser atualizados para a atualização mais recente, uma vez que o UR4 não tem atualizações para estes componentes.

    • Para o Service Management Automation (SMA), atualize para o Rollup 1 de Atualização e atualize também o pacote de gestão SMA (MP) a partir desta página Web do Centro de Transferências da Microsoft.

    • Para o Service Provider Foundation (SPF), atualize para o Rollup 2 de Atualização.

    • System Center Virtual Machine Manager (SCVMM) deve ser atualizado para, pelo menos, Atualizar Rollup 3.

  2. Certifique-se de que a configuração está tão funcional como antes de ter aplicado as atualizações. Por exemplo, verifique se pode iniciar a consola.

  3. Altere as definições de configuração para ativar o TLS 1.2.

  4. Certifique-se de que estão a ser SQL Server serviços necessários.

Instalar atualizações

Atualizar atividade

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Certifique-se de que todas as atualizações de segurança atuais estão instaladas Windows Server 2012 R2 ou Windows Server 2016 

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Certifique-se de que o .NET Framework 4.6 está instalado em todos os componentes do System Center

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Instalar a atualização SQL Server necessária que suporte TLS 1.2

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Instalar as atualizações necessárias do System Center 2016

Sim

Não

Sim

Sim

Não

Não

Sim

Certifique-se de que os certificados com assinatura de AC são SHA1 ou SHA2

Sim

Sim

Sim

Sim

Sim

Sim

Sim

1 System Center Operations Manager (SCOM)2 System Center Virtual Machine Manager (SCVMM)3 System Center Data Protection Manager (SCDPM)4 System Center Setor (SCO)5 Service Management Automation (SMA)6 Service Provider Foundation (SPF)7 Service Manager (SM)

Alterar definições de configuração

Atualização de configuração

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Definição no Windows para utilizar apenas o Protocolo TLS 1.2

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Definição no System Center para utilizar apenas o Protocolo TLS 1.2

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Definições adicionais

Sim

Não

Sim

Sim

Não

Não

Não

.NET Framework 

Certifique-se de que o .NET Framework 4.6 está instalado em todos os componentes do System Center. Para fazê-lo, sigaestas instruções.

Suporte TLS 1.2

Instale a atualização SQL Server necessária que suporte TLS 1.2. Para o fazer, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

3135244 Suporte do TLS 1.2 para o Microsoft SQL Server

Atualizações necessárias do System Center 2016

SQL Server 2012 Native client 11.0 deve estar instalado em todos os seguintes componentes do System Center.

Componente

Função

Controlador SQL Obrigatório

Operations Manager

Servidor de Gestão e Consolas Web

SQL Server 2012 Cliente nativo 11.0 ou Microsoft OLE DB Driver 18 para SQL Server (recomendado).

Note O Microsoft OLE DB Driver 18 for SQL Server é suportado com Operations Manager 2016 UR9 e posterior.

Virtual Machine Manager

(Não obrigatório)

(Não obrigatório)

Àrbitro

Management Server

SQL Server 2012 Cliente nativo 11.0 ou Microsoft OLE DB Driver 18 para SQL Server (recomendado).

Note O Microsoft OLE DB Driver 18 for SQL Server é suportado com o OLE 2016 UR8 e posterior.

Gestor de Proteção de Dados

Management Server

SQL Server 2012 Cliente Nativo 11.0

Service Manager

Management Server

SQL Server 2012 Cliente nativo 11.0 ou Microsoft OLE DB Driver 18 para SQL Server (recomendado).

Note O Microsoft OLE DB Driver 18 for SQL Server é suportado com Service Manager UR9 2016 e posterior.

Para transferir e instalar o Microsoft SQL Server 2012 Native Client 11.0, consulte esta página Web do Centro de Transferências da Microsoft.

Para transferir e instalar o Microsoft OLE DB Driver 18, consulte esta página Web do Centro de Transferências da Microsoft.

Para o System Center Operations Manager Service Manager, tem de ter o ODBC 11.0 ou o ODBC 13.0 instalado em todos os servidores de gestão.

Instale as atualizações necessárias do System Center 2016 a partir do seguinte artigo da Base de Dados de Conhecimento:

4043305 Descrição do Rollup de Atualização 4 para o Microsoft System Center 2016  

Componente

2016

Operations Manager

Atualizar o Rollup 4 para System Center 2016 Operations Manager

Service Manager

Atualizar o Rollup 4 para System Center 2016 Service Manager

Àrbitro

Atualizar o Rollup 4 para System Center 2016

Gestor de Proteção de Dados

Atualizar o Rollup 4 para o System Center 2016 Data Protection Manager

Nota Certifique-se de que expande os conteúdos do ficheiro e instale o ficheiro MSP na função correspondente.

Certificados SHA1 e SHA2

Os componentes do System Center geram agora certificados SHA1 e SHA2 autoassinados. Isto é necessário para ativar o TLS 1.2. Se os certificados assinados pela AC são utilizados, certifique-se de que os certificados são SHA1 ou SHA2.

Definir o Windows para utilizar apenas TLS 1.2

Utilize um dos seguintes métodos para configurar o Windows para utilizar apenas o protocolo TLS 1.2.

Método 1: modificar manualmente o registo

Importante Siga cuidadosamente os passos nesta secção. Poderão ocorrer problemas graves se modificar o registo de forma incorreta. Antes de o modificar, faça uma cópia de segurança do registo para o restaurar caso ocorram problemas.

Utilize os seguintes passos para ativar/desativar todos os protocolos SCHANNEL ao nível do sistema. Recomendamos que ative o protocolo TLS 1.2 para comunicações recebidas; e ative os protocolos TLS 1.2, TLS 1.1 e TLS 1.0 para todas as comunicações de saída.

Note Efetuar estas alterações de registo não afeta a utilização de protocolos Kerberos ou NTLM.

  1. Inicie o Editor de Registo. Para fazê-lo, clique com o botão direito do rato em Iniciar, escreva regedit na caixa Executar e, em seguida, clique em OK.

  2. Localize a seguinte subconsciente de registo:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Clique com o botão direito do rato na tecla Protocol, aponte para Novo e, em seguida, clique em Chave.Registo

  4. Escreva SSL 3 e, em seguida, prima Enter.

  5. Repita os passos 3 e 4 para criar teclas para o TLS 0, TLS 1.1 e TLS 1.2. Estas chaves assemellham-se a diretórios.

  6. Crie uma chave Cliente e uma chave Servidor em cada uma das teclas SSL 3, TLS 1.0, TLS 1.1 e TLS 1.2 .

  7. Para ativar um protocolo, crie o valor DWORD em cada chave Cliente e Servidor da seguinte forma:

    DisabledByDefault [Value = 0] Ativado [Valor = 1] Para desativar um protocolo, altere o valor DWORD em cada chave Cliente e Servidor da seguinte forma:

    DisabledByDefault [Valor = 1] Ativado [Valor = 0]

  8. No menu Ficheiro , clique em Sair.

Método 2: modificar automaticamente o registo

Execute o seguinte script Windows PowerShell no modo Administrador para configurar automaticamente o Windows para utilizar apenas o Protocolo TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Definir o System Center para utilizar apenas TLS 1.2

Defina o System Center para utilizar apenas o protocolo TLS 1.2. Para o fazer, primeiro certifique-se de que todos os pré-requisitos são cumpridos. Em seguida, faça as seguintes definições nos componentes do System Center e em todos os outros servidores nos quais os agentes estão instalados.

Utilize um dos seguintes métodos.

Método 1: modificar manualmente o registo

Importante Siga cuidadosamente os passos nesta secção. Poderão ocorrer problemas graves se modificar o registo de forma incorreta. Antes de o modificar, faça uma cópia de segurança do registo para o restaurar caso ocorram problemas.

Para ativar a instalação para suportar o protocolo TLS 1.2, siga estes passos:

  1. Inicie o Editor de Registo. Para fazê-lo, clique com o botão direito do rato em Iniciar, escreva regedit na caixa Executar e, em seguida, clique em OK.

  2. Localize a seguinte subconsciente de registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Crie o seguinte valor DWORD abaixo desta chave:

    SchUseStrongCrypto [Valor = 1]

  4. Localize a seguinte subconsciente de registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Crie o seguinte valor DWORD abaixo desta chave:

    SchUseStrongCrypto [Valor = 1]

  6. Reinicie o sistema.

Método 2: modificar automaticamente o registo

Execute o seguinte script Windows PowerShell no modo Administrador para configurar automaticamente o System Center para utilizar apenas o Protocolo TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Definições adicionais

Operations Manager

Pacotes de Gestão

Importe os pacotes de gestão para o System Center 2016 Operations Manager. Estes encontram-se no seguinte diretório depois de instalar a atualização do servidor:

\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs para Rollups de Atualização

Definições de ACS

Para os Serviços de Coleção de Auditoria (ACS), tem de fazer alterações adicionais no registo. O ACS utiliza o DSN para fazer ligações à base de dados. Tem de atualizar as definições de DSN para que funcionam no TLS 1.2.

  1. Localize a seguinte subconta para o ODBC no registo.Nota O nome predefinido de DSN é OpsMgrAC.ODBC.INI subconsciente

  2. Na subchava Origens de Dados ODBC, selecione a entrada para o nome DSN, OpsMgrAC. Contém o nome do controlador ODBC a ser utilizado para a ligação de base de dados. Se tiver o ODBC 11.0 instalado, altere este nome para ODBC Driver 11 para SQL Server. Se tiver o ODBC 13.0 instalado, altere este nome para ODBC Driver 13 para SQL Server.Subconsuição Origens de Dados ODBC

  3. Na subchava OpsMgrAC, atualize a entrada Controlador da versão ODBS instalada.Subchacha OpsMgrAC

    • Se o ODBC 11.0 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql11.dll.

    • Se o ODBC 13.0 estiver instalado, altere a entrada Controlador para %WINDIR%\system32\msodbcsql13.dll.

    • Em alternativa, crie e guarde o seguinte ficheiro .reg no Bloco de Notas ou noutro editor de texto. Para executar o ficheiro .reg guardado, faça duplo clique no ficheiro.Para o ODBC 11.0, crie o seguinte ficheiro ODBC 11.0.reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\origens de dados ODBC] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Para o ODBC 13.0, crie o seguinte ficheiro ODBC 13.0.reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\origens de dados ODBC] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Endireitação TLS no Linux

Siga as instruções no Web site adequado para configurar o TLS 1.2 no seu ambiente red Hat ou Apache .

Gestor de Proteção de Dados

Para permitir que o Gestor de Proteção de Dados trabalhe em conjunto com o TLS 1.2 para fazer uma back-up para a nuvem, ative estes passos no servidor do Gestor de Proteção de Dados.

Àrbitro

Depois de instalar as atualizações do Editor, reconfigure a base de dados Do Gliglisor ao utilizar a base de dados existente de acordo com estas diretrizes.

Exclusão de exclusão de licite de contacto de terceiros

A Microsoft fornece informações de contacto de terceiros para o ajudar a encontrar informações adicionais sobre este tópico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante a precisão das informações de contacto de terceiros.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.