Аннотация

В этой статье описывается включение протокола TLS версии 1.2 в среде Microsoft System Center 2012 R2.

Дополнительная информация

Чтобы включить протокол TLS версии 1.2 в среде System Center, выполните следующие действия.

  1. Установите обновления из выпуска.

    Заметки

  2. Убедитесь, что настройка работает так же, как и до применения обновлений. Например, проверьте, можно ли запустить консоль.

  3. Измените параметры конфигурации, чтобы включить TLS 1.2.

  4. Убедитесь, что все необходимые SQL Server запущены.


Установка обновлений

Действие обновления

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Убедитесь, что все текущие обновления безопасности установлены для Windows Server 2012 R2

Да

Да

Да

Да

Да

Да

Да

Убедитесь, что платформа .NET Framework 4.6 установлен на всех компонентах System Center.

Да

Да

Да

Да

Да

Да

Да

Установите необходимое обновление SQL Server, которое поддерживает TLS 1.2.

Да

Да

Да

Да

Да

Да

Да

Установка необходимых обновлений System Center 2012 R2

Да

Нет

Да

Да

Нет

Нет

Да

Убедитесь, что сертификаты, подписанные ЦС, имеют значение SHA1 или SHA2.

Да

Да

Да

Да

Да

Да

Да


1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)


Изменение параметров конфигурации

Обновление конфигурации

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Настройка в Windows для использования только протокола TLS 1.2

Да

Да

Да

Да

Да

Да

Да

Настройка в System Center использования только протокола TLS 1.2

Да

Да

Да

Да

Да

Да

Да

Дополнительные параметры

Да

Нет

Да

Да

Нет

Нет

Нет


платформа .NET Framework 

Убедитесь, что платформа .NET Framework 4.6 установлен на всех компонентах System Center. Для этого выполнитеследующие инструкции.

Поддержка TLS 1.2

Установите необходимое обновление SQL Server, которое поддерживает TLS 1.2. Для этого см. следующую статью в базе знаний Майкрософт:

3135244 Поддержка TLS 1.2 для microsoft SQL Server


Обязательные обновления System Center 2012 R2

SQL Server 2012 Native client 11.0 должен быть установлен на всех следующих компонентах System Center.

Компонент

Роль

Operations Manager

Сервер управления и веб-консоли

Virtual Machine Manager

(Не требуется)

Orchestrator

Сервер управления

Data Protection Manager

Сервер управления

Service Manager

Сервер управления


Чтобы скачать и установить Microsoft SQL Server 2012 Native Client 11.0, ознакомьтесь с этой веб-страницей Центра загрузки Майкрософт.

Для System Center Operations Manager и Service Manager необходимо установить ODBC 11.0 или ODBC 13.0 на всех серверах управления.

Установите необходимые обновления System Center 2012 R2 из следующей статьи базы знаний:

4043306 Описание накопительного пакета обновления 14 для Microsoft System Center 2012 R2
 

Компонент

2012 R2

Operations Manager

Накопительный пакет обновления 14 для System Center 2012 R2 Operations Manager

Service Manager

Накопительный пакет обновления 14 для System Center 2012 R2 Service Manager

Orchestrator

Накопительный пакет обновления 14 для System Center 2012 R2 Orchestrator

Data Protection Manager

Накопительный пакет обновления 14 для System Center 2012 R2 Data Protection Manager


Примечание Разверните содержимое файла и установите MSP-файл в соответствующей роли, за исключением Data Protection Manager. Для Data Protection Manager установите .exe файла.

Сертификаты SHA1 и SHA2

Компоненты System Center теперь создают самозаверяющие сертификаты SHA1 и SHA2. Это необходимо для включения TLS 1.2. Если используются сертификаты, подписанные ЦС, убедитесь, что они имеют тип SHA1 или SHA2.

Настройка Windows для использования только TLS 1.2

Используйте один из следующих методов, чтобы настроить Windows для использования только протокола TLS 1.2.

Метод 1. Изменение реестра вручную

Важно: Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем изменять его, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить или отключить все протоколы SCHANNEL на уровне системы, выполните следующие действия. Рекомендуется включить протокол TLS 1.2 для входящих подключений и включить протоколы TLS 1.2, TLS 1.1 и TLS 1.0 для всех исходящих сообщений.

Примечание. Внесение этих изменений в реестр не влияет на использование протоколов Kerberos или NTLM.

  1. Откройте редактор реестра. Для этого щелкните правой кнопкой мыши "Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".

  2. Найдите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Щелкните правой кнопкой мыши ключ протокола , наведите указатель на пункт "Создать" и выберите пункт " Ключ".

    Системный реестр

  4. Введите SSL 3 и нажмите клавишу ВВОД.

  5. Повторите шаги 3 и 4, чтобы создать ключи для TLS 0, TLS 1.1 и TLS 1.2. Эти ключи похожи на каталоги.

  6. Создайте ключ клиента и ключ сервера под каждым из ключей SSL 3, TLS 1.0, TLS 1.1 и TLS 1.2.

  7. Чтобы включить протокол, создайте значение DWORD под каждым ключом клиента и сервера следующим образом:

    DisabledByDefault [значение = 0]
    Включено [значение = 1]
    Чтобы отключить протокол, измените значение DWORD под каждым ключом клиента и сервера следующим образом:

    DisabledByDefault [значение = 1]
    Включено [значение = 0]

  8. В меню "Файл " выберите "Выйти".


Метод 2. Автоматическое изменение реестра

Выполните следующий Windows PowerShell в режиме администратора, чтобы автоматически настроить Windows для использования только протокола TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Настройка System Center для использования только TLS 1.2

Задайте System Center для использования только протокола TLS 1.2. Для этого сначала убедитесь, что выполнены все предварительные требования. Затем настройте следующие параметры для компонентов System Center и всех остальных серверов, на которых установлены агенты.

Используйте один из следующих методов.

Метод 1. Изменение реестра вручную

Важно: Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем изменять его, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить установку для поддержки протокола TLS 1.2, выполните следующие действия.

  1. Откройте редактор реестра. Для этого щелкните правой кнопкой мыши "Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".

  2. Найдите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Создайте следующее значение DWORD под этим ключом:

    SchUseStrongCrypto [Значение = 1]

  4. Найдите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Создайте следующее значение DWORD под этим ключом:

    SchUseStrongCrypto [Значение = 1]

  6. Перезапустите систему.


Метод 2. Автоматическое изменение реестра

Выполните следующий Windows PowerShell в режиме администратора, чтобы автоматически настроить System Center для использования только протокола TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Дополнительные параметры

Operations Manager

Пакеты управления

Импортируйте пакеты управления для System Center 2012 R2 Operations Manager. Они находятся в следующем каталоге после установки обновления сервера:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

Параметры ACS

Для службы audit Collection Services (ACS) необходимо внести дополнительные изменения в реестр. ACS использует DSN для подключения к базе данных. Необходимо обновить параметры DSN, чтобы они были функциональными для TLS 1.2.

  1. Найдите следующий подраздел для ODBC в реестре.

    Примечание Имя DSN по умолчанию — OpsMgrAC.

    ODBC.INI подраздела

  2. В подразделе "Источники данных ODBC " выберите запись имени DSN OpsMgrAC. Он содержит имя драйвера ODBC, используемого для подключения к базе данных. Если у вас установлен ODBC 11.0, измените это имя на ODBC Driver 11 для SQL Server. Если у вас установлен ODBC 13.0, измените это имя на ODBC Driver 13 для SQL Server.

    Подраздел источников данных ODBC

  3. В подразделе OpsMgrAC обновите запись драйвера для установленной версии ODBS.

    Подраздел OpsMgrAC

    • Если установлен ODBC 11.0, измените запись драйвера на %WINDIR%\system32\msodbcsql11.dll.

    • Если установлен ODBC 13.0, измените запись драйвера на %WINDIR%\system32\msodbcsql13.dll.

    • Кроме того, создайте и сохраните следующий REG-файл в Блокноте или другом текстовом редакторе. Чтобы запустить сохраненный REG-файл, дважды щелкните файл.

      Для ODBC 11.0 создайте следующий файл ODBC 11.0.reg:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Источники данных ODBC] "OpsMgrAC"="Драйвер ODBC 11 для SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Для ODBC 13.0 создайте следующий файл ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Усиление защиты TLS в Linux

Следуйте инструкциям на соответствующем веб-сайте, чтобы настроить TLS 1.2 в среде Red Hat или Apache .

Data Protection Manager

Чтобы диспетчер защиты данных совместно с TLS 1.2 можно было выполнять резервное копирование в облако, включите эти действия на сервере Data Protection Manager. 

Orchestrator

После установки обновлений Orchestrator перенастройте базу данных Orchestrator, используя существующую базу данных в соответствии с этими рекомендациями.

Service Manager

Перед установкой Service Manager необходимо установить необходимые пакеты и перенастроить значения разделов реестра, как описано в разделе инструкций "Перед установкой" статьи базы знаний 4024037.

Кроме того, если вы отслеживаете System Center Service Manager с помощью System Center Operations Manager, обновите до последней версии (версии 7.5.7487.89) пакета управления мониторингом для TLS 1.2.

Service Management Automation (SMA)

Если вы отслеживали службу автоматизации управления службами (SMA) с помощью System Center Operations Manager, обновите до последней версии пакета управления мониторингом для поддержки TLS 1.2:

Пакет управления System Center для System Center 2012 R2 Orchestrator — service Management Automation

Заявление об отказе от ответственности за контактные данные сторонней организации

Корпорация Майкрософт предоставляет контактные данные сторонней организации для оказания помощи пользователям по вопросам, упомянутым в данной статье. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних организаций.

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×