Руководство по развертыванию поддержки протокола TLS 1.2 для System Center 2012 R2

Аннотация

В этой статье описывается включение протокола TLS версии 1.2 в среде Microsoft System Center 2012 R2.

Дополнительная информация

Чтобы включить протокол TLS версии 1.2 в среде System Center, выполните следующие действия.

Установите обновления из выпуска.

Заметки
- Установите последний накопительный пакет обновления для всех компонентов System Center, прежде чем применять накопительный пакет обновления 14.
  - Для Data Protection Manager и Virtual Machine Manager установите накопительный пакет обновления 13.
  - Для service Management Automation установите накопительный пакет обновления 7.
  - Для System Center Orchestrator установите накопительный пакет обновления 8.
  - Для Service Provider Foundation установите накопительный пакет обновления 12.
  - Для Service Manager установите накопительный пакет обновления 9.
Убедитесь, что настройка работает так же, как и до применения обновлений. Например, проверьте, можно ли запустить консоль.
Измените параметры конфигурации, чтобы включить TLS 1.2.
Убедитесь, что все необходимые SQL Server запущены.

Установка обновлений

Действие обновления	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Убедитесь, что все текущие обновления безопасности установлены для Windows Server 2012 R2	Да	Да	Да	Да	Да	Да	Да
Убедитесь, что платформа .NET Framework 4.6 установлен на всех компонентах System Center.	Да	Да	Да	Да	Да	Да	Да
Установите необходимое обновление SQL Server, которое поддерживает TLS 1.2.	Да	Да	Да	Да	Да	Да	Да
Установка необходимых обновлений System Center 2012 R2	Да	Нет	Да	Да	Нет	Нет	Да
Убедитесь, что сертификаты, подписанные ЦС, имеют значение SHA1 или SHA2.	Да	Да	Да	Да	Да	Да	Да

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Изменение параметров конфигурации

Обновление конфигурации	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Настройка в Windows для использования только протокола TLS 1.2	Да	Да	Да	Да	Да	Да	Да
Настройка в System Center использования только протокола TLS 1.2	Да	Да	Да	Да	Да	Да	Да
Дополнительные параметры	Да	Нет	Да	Да	Нет	Нет	Нет

платформа .NET Framework

Убедитесь, что платформа .NET Framework 4.6 установлен на всех компонентах System Center. Для этого выполнитеследующие инструкции.

Поддержка TLS 1.2

Установите необходимое обновление SQL Server, которое поддерживает TLS 1.2. Для этого см. следующую статью в базе знаний Майкрософт:

3135244 Поддержка TLS 1.2 для microsoft SQL Server

Обязательные обновления System Center 2012 R2

SQL Server 2012 Native client 11.0 должен быть установлен на всех следующих компонентах System Center.

Компонент	Роль
Operations Manager	Сервер управления и веб-консоли
Virtual Machine Manager	(Не требуется)
Orchestrator	Сервер управления
Data Protection Manager	Сервер управления
Service Manager	Сервер управления

Чтобы скачать и установить Microsoft SQL Server 2012 Native Client 11.0, ознакомьтесь с этой веб-страницей Центра загрузки Майкрософт.

Для System Center Operations Manager и Service Manager необходимо установить ODBC 11.0 или ODBC 13.0 на всех серверах управления.

Установите необходимые обновления System Center 2012 R2 из следующей статьи базы знаний:

4043306 Описание накопительного пакета обновления 14 для Microsoft System Center 2012 R2

Компонент	2012 R2
Operations Manager	Накопительный пакет обновления 14 для System Center 2012 R2 Operations Manager
Service Manager	Накопительный пакет обновления 14 для System Center 2012 R2 Service Manager
Orchestrator	Накопительный пакет обновления 14 для System Center 2012 R2 Orchestrator
Data Protection Manager	Накопительный пакет обновления 14 для System Center 2012 R2 Data Protection Manager

Примечание Разверните содержимое файла и установите MSP-файл в соответствующей роли, за исключением Data Protection Manager. Для Data Protection Manager установите .exe файла.

Сертификаты SHA1 и SHA2

Компоненты System Center теперь создают самозаверяющие сертификаты SHA1 и SHA2. Это необходимо для включения TLS 1.2. Если используются сертификаты, подписанные ЦС, убедитесь, что они имеют тип SHA1 или SHA2.

Настройка Windows для использования только TLS 1.2

Используйте один из следующих методов, чтобы настроить Windows для использования только протокола TLS 1.2.

Метод 1. Изменение реестра вручную

Важно: Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем изменять его, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить или отключить все протоколы SCHANNEL на уровне системы, выполните следующие действия. Рекомендуется включить протокол TLS 1.2 для входящих подключений и включить протоколы TLS 1.2, TLS 1.1 и TLS 1.0 для всех исходящих сообщений.

Примечание. Внесение этих изменений в реестр не влияет на использование протоколов Kerberos или NTLM.

Откройте редактор реестра. Для этого щелкните правой кнопкой мыши "Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".
Найдите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Щелкните правой кнопкой мыши ключ протокола , наведите указатель на пункт "Создать" и выберите пункт " Ключ".
Введите SSL 3 и нажмите клавишу ВВОД.
Повторите шаги 3 и 4, чтобы создать ключи для TLS 0, TLS 1.1 и TLS 1.2. Эти ключи похожи на каталоги.
Создайте ключ клиента и ключ сервера под каждым из ключей SSL 3, TLS 1.0, TLS 1.1 и TLS 1.2.
Чтобы включить протокол, создайте значение DWORD под каждым ключом клиента и сервера следующим образом:

DisabledByDefault [значение = 0]
Включено [значение = 1]
Чтобы отключить протокол, измените значение DWORD под каждым ключом клиента и сервера следующим образом:

DisabledByDefault [значение = 1]
Включено [значение = 0]
В меню "Файл " выберите "Выйти".

Метод 2. Автоматическое изменение реестра

Выполните следующий Windows PowerShell в режиме администратора, чтобы автоматически настроить Windows для использования только протокола TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Настройка System Center для использования только TLS 1.2

Задайте System Center для использования только протокола TLS 1.2. Для этого сначала убедитесь, что выполнены все предварительные требования. Затем настройте следующие параметры для компонентов System Center и всех остальных серверов, на которых установлены агенты.

Используйте один из следующих методов.

Метод 1. Изменение реестра вручную

Важно: Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем изменять его, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить установку для поддержки протокола TLS 1.2, выполните следующие действия.

Откройте редактор реестра. Для этого щелкните правой кнопкой мыши "Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".
Найдите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Создайте следующее значение DWORD под этим ключом:

SchUseStrongCrypto [Значение = 1]
Найдите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Создайте следующее значение DWORD под этим ключом:

SchUseStrongCrypto [Значение = 1]
Перезапустите систему.

Метод 2. Автоматическое изменение реестра

Выполните следующий Windows PowerShell в режиме администратора, чтобы автоматически настроить System Center для использования только протокола TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Дополнительные параметры

Operations Manager

Пакеты управления

Импортируйте пакеты управления для System Center 2012 R2 Operations Manager. Они находятся в следующем каталоге после установки обновления сервера:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

Параметры ACS

Для службы audit Collection Services (ACS) необходимо внести дополнительные изменения в реестр. ACS использует DSN для подключения к базе данных. Необходимо обновить параметры DSN, чтобы они были функциональными для TLS 1.2.

Найдите следующий подраздел для ODBC в реестре.

Примечание Имя DSN по умолчанию — OpsMgrAC.
В подразделе "Источники данных ODBC " выберите запись имени DSN OpsMgrAC. Он содержит имя драйвера ODBC, используемого для подключения к базе данных. Если у вас установлен ODBC 11.0, измените это имя на ODBC Driver 11 для SQL Server. Если у вас установлен ODBC 13.0, измените это имя на ODBC Driver 13 для SQL Server.
В подразделе OpsMgrAC обновите запись драйвера для установленной версии ODBS.
- Если установлен ODBC 11.0, измените запись драйвера на %WINDIR%\system32\msodbcsql11.dll.
- Если установлен ODBC 13.0, измените запись драйвера на %WINDIR%\system32\msodbcsql13.dll.
- Кроме того, создайте и сохраните следующий REG-файл в Блокноте или другом текстовом редакторе. Чтобы запустить сохраненный REG-файл, дважды щелкните файл.
  
  Для ODBC 11.0 создайте следующий файл ODBC 11.0.reg:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Источники данных ODBC] "OpsMgrAC"="Драйвер ODBC 11 для SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Для ODBC 13.0 создайте следующий файл ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Усиление защиты TLS в Linux

Следуйте инструкциям на соответствующем веб-сайте, чтобы настроить TLS 1.2 в среде Red Hat или Apache .

Data Protection Manager

Чтобы диспетчер защиты данных совместно с TLS 1.2 можно было выполнять резервное копирование в облако, включите эти действия на сервере Data Protection Manager.

Orchestrator

После установки обновлений Orchestrator перенастройте базу данных Orchestrator, используя существующую базу данных в соответствии с этими рекомендациями.

Service Manager

Перед установкой Service Manager необходимо установить необходимые пакеты и перенастроить значения разделов реестра, как описано в разделе инструкций "Перед установкой" статьи базы знаний 4024037.

Кроме того, если вы отслеживаете System Center Service Manager с помощью System Center Operations Manager, обновите до последней версии (версии 7.5.7487.89) пакета управления мониторингом для TLS 1.2.

Service Management Automation (SMA)

Если вы отслеживали службу автоматизации управления службами (SMA) с помощью System Center Operations Manager, обновите до последней версии пакета управления мониторингом для поддержки TLS 1.2:

Пакет управления System Center для System Center 2012 R2 Orchestrator — service Management Automation

Заявление об отказе от ответственности за контактные данные сторонней организации

Корпорация Майкрософт предоставляет контактные данные сторонней организации для оказания помощи пользователям по вопросам, упомянутым в данной статье. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних организаций.