Aktivieren von TLS 1.2 auf den Standortservern und Remotestandortsystemen
Gilt für: Configuration Manager (aktueller Branch)
Beginnen Sie beim Aktivieren von TLS 1.2 für Ihre Configuration Manager-Umgebung zunächst mit der Aktivierung von TLS 1.2 für die Clients . Aktivieren Sie anschließend TLS 1.2 auf den Standortservern und Remotestandortsystemen. Testen Sie schließlich die Kommunikation zwischen Client und Standortsystem, bevor Sie möglicherweise die älteren Protokolle auf serverseitiger Seite deaktivieren. Die folgenden Aufgaben sind erforderlich, um TLS 1.2 auf den Standortservern und Remotestandortsystemen zu aktivieren:
- Sicherstellen, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist
- .NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
- Aktualisieren von SQL Server- und Clientkomponenten
- Aktualisieren von Windows Server Update Services (WSUS)
Weitere Informationen zu Abhängigkeiten für bestimmte Configuration Manager- Funktionen und -Szenarien finden Sie unter Informationen zum Aktivieren von TLS 1.2.
Sicherstellen, dass TLS 1.2 als Protokoll für SChannel auf Betriebssystemebene aktiviert ist
Die Protokollnutzung wird größtenteils auf drei Ebenen gesteuert: auf Betriebssystemebene, Framework- oder Plattformebene und Anwendungsebene. TLS 1.2 ist standardmäßig auf Betriebssystemebene aktiviert. Nachdem Sie sichergestellt haben, dass die .NET-Registrierungswerte so festgelegt sind, dass TLS 1.2 aktiviert wird, und überprüfen Sie, ob die Umgebung TLS 1.2 ordnungsgemäß im Netzwerk verwendet, können Sie den SChannel\Protocols
Registrierungsschlüssel bearbeiten, um die älteren, weniger sicheren Protokolle zu deaktivieren. Weitere Informationen zum Deaktivieren von TLS 1.0 und 1.1 finden Sie unter Konfigurieren von Schannel-Protokollen in der Windows-Registrierung.
.NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
Ermitteln der .NET-Version
Ermitteln Sie zunächst die installierten .NET-Versionen. Weitere Informationen finden Sie unter So stellen Sie fest, welche Versionen und Service Packs von .NET Framework installiert sind.
.NET-Updates installieren
Installieren Sie die .NET-Updates, damit Sie starke Kryptografie aktivieren können. Einige Versionen von .NET Framework erfordern möglicherweise Updates, um eine starke Kryptografie zu ermöglichen. Nutzen Sie diese Richtlinien:
NET Framework 4.6.2 und höher unterstützt TLS 1.1 und TLS 1.2. Bestätigen Sie die Registrierungseinstellungen, aber es sind keine weiteren Änderungen erforderlich.
Hinweis
Ab Version 2107 erfordert Configuration Manager Microsoft .NET Framework Version 4.6.2 für Standortserver, bestimmte Standortsysteme, Clients und die Konsole. Installieren Sie nach Möglichkeit in Ihrer Umgebung die neueste Version von .NET Version 4.8.
Aktualisieren Sie NET Framework 4.6 und frühere Versionen, um TLS 1.1 und TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter .NET Framework – Versionen und Abhängigkeiten.
Wenn Sie .NET Framework 4.5.1 oder 4.5.2 unter Windows 8.1, Windows Server 2012 R2 oder Windows Server 2012 verwenden, wird dringend empfohlen, die neuesten Sicherheitsupdates für .NET Framework 4.5.1 und 4.5.2 zu installieren, um sicherzustellen, dass TLS 1.2 ordnungsgemäß aktiviert werden kann.
Als Referenz wurde TLS 1.2 erstmals in .NET Framework 4.5.1 und 4.5.2 mit den folgenden Hotfixrollups eingeführt:
- Für Windows 8.1 und Server 2012 R2: Hotfixrollup 3099842
- Für Windows Server 2012: Hotfixrollup 3099844
Konfigurieren für starke Kryptografie
Konfigurieren Sie .NET Framework, um starke Kryptografie zu unterstützen. Legen Sie die SchUseStrongCrypto
Registrierungseinstellung auf fest DWORD:00000001
. Dieser Wert deaktiviert die RC4-Streamchiffre und erfordert einen Neustart. Weitere Informationen zu dieser Einstellung finden Sie unter Microsoft-Sicherheitsempfehlung 296038.
Stellen Sie sicher, dass Sie die folgenden Registrierungsschlüssel auf jedem Computer festlegen, der über das Netzwerk mit einem TLS 1.2-fähigen System kommuniziert. Beispielsweise Configuration Manager-Clients, Remotestandortsystemrollen, die nicht auf dem Standortserver installiert sind, und der Standortserver selbst.
Aktualisieren Sie für 32-Bit-Anwendungen, die auf 32-Bit-Betriebssystemen ausgeführt werden, und für 64-Bit-Anwendungen, die auf 64-Bit-Betriebssystemen ausgeführt werden, die folgenden Unterschlüsselwerte:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Aktualisieren Sie für 32-Bit-Anwendungen, die auf 64-Bit-Systemen ausgeführt werden, die folgenden Unterschlüsselwerte:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Hinweis
Die SchUseStrongCrypto
Einstellung ermöglicht .NET die Verwendung von TLS 1.1 und TLS 1.2. Die SystemDefaultTlsVersions
Einstellung ermöglicht .NET die Verwendung der Betriebssystemkonfiguration. Weitere Informationen finden Sie unter Bewährte Methoden für TLS mit .NET Framework.
Aktualisieren von SQL Server- und Clientkomponenten
Microsoft SQL Server 2016 und höher unterstützen TLS 1.1 und TLS 1.2. Frühere Versionen und abhängige Bibliotheken erfordern möglicherweise Updates. Weitere Informationen finden Sie unter KB-3135244: TLS 1.2-Unterstützung für Microsoft SQL Server.
Sekundäre Standortserver müssen mindestens SQL Server 2016 Express mit Service Pack 2 (13.2.50.26) oder höher verwenden.
SQL Server Native Client
Hinweis
Kb-3135244 beschreibt auch die Anforderungen für SQL Server-Clientkomponenten.
Stellen Sie sicher, dass Sie auch SQL Server Native Client auf mindestens version SQL Server 2012 SP4 (11.*.7001.0) aktualisieren. Diese Anforderung ist eine Voraussetzungsprüfung (Warnung).
Configuration Manager verwendet SQL Server Native Client für die folgenden Standortsystemrollen:
- Standortdatenbankserver
- Standortserver: Standort der zentralen Verwaltung, primärer Standort oder sekundärer Standort
- Verwaltungspunkt
- Geräteverwaltungspunkt
- Zustandsmigrationspunkt
- SMS-Anbieter
- Softwareupdatepunkt
- Multicast-fähiger Verteilungspunkt
- Asset Intelligence-Updatedienstpunkt
- Reporting Services-Punkt
- Registrierungspunkt
- Endpoint Protection-Punkt
- Dienstverbindungspunkt
- Zertifikatregistrierungspunkt
- Data Warehouse-Dienstpunkt
Aktivieren von TLS 1.2 im großen Stil mithilfe der Automatischen Computerkonfiguration und Azure Arc
Konfiguriert TLS 1.2 automatisch client- und serverübergreifend für Computer, die in Azure-, lokalen oder Multi-Cloud-Umgebungen ausgeführt werden. Um mit der Konfiguration von TLS 1.2 auf Ihren Computern zu beginnen, verbinden Sie diese mithilfe von Servern mit Azure Arc-Unterstützung mit Azure, die standardmäßig mit der Voraussetzung für die Computerkonfiguration verbunden sind. Nach der Verbindung kann TLS 1.2 mit einfacher Point-and-Click-Einfachheit konfiguriert werden, indem die integrierte Richtliniendefinition im Azure-Portal bereitgestellt wird: Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Servern. Der Richtlinienbereich kann auf Abonnement-, Ressourcengruppen- oder Verwaltungsgruppenebene zugewiesen werden und alle Ressourcen aus der Richtliniendefinition ausschließen.
Nachdem die Konfiguration zugewiesen wurde, kann der Konformitätsstatus Ihrer Ressourcen im Detail angezeigt werden, indem Sie zur Seite Gastzuweisungen navigieren und den Bereich nach unten zu den betroffenen Ressourcen eingrenzen.
Ein ausführliches, schritt-für-Schritt-Tutorial finden Sie unter Konsistentes Upgrade Ihres SERVER-TLS-Protokolls mithilfe von Azure Arc und Automanage Machine Configuration.
Aktualisieren von Windows Server Update Services (WSUS)
TLS 1.2 wird standardmäßig für WSUS auf allen derzeit unterstützten Versionen von Windows Server unterstützt.
Um TLS 1.2 in früheren Versionen von WSUS zu unterstützen, installieren Sie das folgende Update auf dem WSUS-Server:
Installieren Sie für WSUS-Server, auf dem Windows Server 2012 ausgeführt wird, update 4022721 oder ein späteres Rollupupdate.
Installieren Sie für WSUS-Server, auf dem Windows Server 2012 R2 ausgeführt wird, update 4022720 oder ein späteres Rollupupdate.
Hinweis
Am 10. Oktober 2023 sind Windows Server 2012 und Windows Server 2012 R2 in die Phase erweiterte Supportupdates eingetreten. Microsoft bietet keine Unterstützung mehr für Configuration Manager-Standortserver oder -Rollen, die auf diesen Betriebssystemen installiert sind. Weitere Informationen finden Sie unter Erweiterte Sicherheitsupdates und Configuration Manager.