TLS 1.2 afdwingen voor Operations Manager

In dit artikel wordt beschreven hoe u System Center Operations Manager toestaat gebruik te maken van TLS (Transport Layer Security) 1.2.

1. Installeer Microsoft OLE DB-stuurprogramma voor SQL versie 18.7.4 op alle beheerservers en de webserverserver.

2. Installeer Microsoft ODBC-stuurprogramma voor SQL versie 17.10.6 op alle beheerservers en de webserverserver.

3. Configureer Windows om alleen TLS 1.2 te gebruiken.

4. Configureer .NET Framework om standaard hogere cryptografieniveaus te gebruiken.

5. Configureer Audit Collection Services indien geïnstalleerd.

Notitie

Als u SQL Server-verbindingsversleuteling gebruikt, installeert u deze stuurprogrammaversies:

• Microsoft OLE DB-stuurprogramma 19: https://aka.ms/downloadmsoledbsql
• Microsoft ODBC-stuurprogramma 18: https://aka.ms/downloadmsodbcsql

Meer informatie over het configureren van SQL-verbindingsversleuteling vindt u hier: SQL Server Database Engine configureren voor het versleutelen van verbindingen

Windows-besturingssysteem configureren om alleen TLS 1.2-protocol te gebruiken

Gebruik een van de volgende methoden om Windows te configureren voor alleen het TLS 1.2-protocol.

Methode 1: Het register handmatig wijzigen

Belangrijk

Volg de stappen in deze sectie zorgvuldig. Er kunnen ernstige problemen optreden als het register onjuist is gewijzigd. Maak een back-up van de registers voor het geval er problemen optreden voordat u wijzigingen aanbrengt.

Zie voor meer informatie: Back-up maken en het register herstellen in Windows

Gebruik de volgende stappen om SChannel-protocollen systeembreed te wijzigen. U wordt aangeraden het TLS 1.2-protocol expliciet in te schakelen.

Notitie

Het aanbrengen van deze registerwijzigingen heeft geen invloed op het gebruik van Kerberos- of NTLM-protocollen.

1. Meld u aan bij de server met een account met lokale beheerdersreferenties.

2. Start de Register-editor door Startte selecteren en vast te houden, voer regedit- in het tekstvak Uitvoeren uit en selecteer OK-.

3. Zoek de volgende registersubsleutel:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

4. Maak een subsleutel onder Protocollen voor:

   • SSL 2.0
   • SSL 3.0
   • TLS 1.0
   • TLS 1.1
   • TLS 1.2-

5. Maak een Client- en Server- subsleutel onder elke eerder gemaakte subsleutel van de protocolversies. De subsleutel voor TLS 1.0 zou bijvoorbeeld zijn

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

6. Als u een protocol wilt uitschakelen, maakt u de volgende DWORD-waarden onder Server en Client:

   • Ingeschakeld [Waarde = 0]
   • DisabledByDefault [Waarde = 1]

7. Als u expliciet het TLS 1.2-protocol wilt inschakelen (standaard is ingeschakeld), maakt u de volgende registersleutels:

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

8. Maak vervolgens de volgende DWORD-waarden onder Server en Client:

   • ingeschakeld [Waarde = 1]
   • DisabledByDefault [Waarde = 0]

9. Sluit de Register-editor.

Methode 2: het register wijzigen met PowerShell

Voer het volgende Windows PowerShell-script uit als beheerder om het Windows-besturingssysteem te configureren voor het gebruik van het TLS 1.2-protocol:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
    foreach ($key in $ProtocolSubKeyList)
    {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Output "Current Registry Path: `"$currentRegPath`""

  if (!(Test-Path $currentRegPath))
  {
    Write-Output " `'$key`' not found: Creating new Registry Key"
    New-Item -Path $currentRegPath -Force | out-Null
  }
  if ($Protocol -eq "TLS 1.2")
  {
    Write-Output " Explicitly enable TLS 1.2 (default is enabled)"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
  }
  else
  {
    Write-Output " Disabling - $Protocol"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
  }
  Write-Output " "
}

.NET Framework configureren voor het gebruik van hogere cryptografieniveaus

.NET Framework vereist doorgaans dat de toepassing definieert welk TLS-protocol moet worden gebruikt voor communicatie. In het exemplaar van Operations Manager moeten we echter het hele .NET Framework-systeem vertellen welk protocol moet worden gebruikt.

Nadat u de configuratie van alle vereisten voor Operations Manager hebt voltooid, voert u de volgende stappen uit op alle Operations Manager-servers en op alle Windows-agents.

Belangrijk

Volg de stappen in deze sectie zorgvuldig. Er kunnen ernstige problemen optreden als het register onjuist is gewijzigd. Maak een back-up van de registers voor het geval er problemen optreden voordat u wijzigingen aanbrengt.

Zie voor meer informatie: Back-up maken en het register herstellen in Windows

Methode 1: Het register handmatig wijzigen

1. De Register-editor openen
2. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727
   1. Maak de volgende DWORD-waardeparen:
      • SchUseStrongCrypto [Waarde = 1]
      • SystemDefaultTlsVersions [Waarde = 1]
3. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727
   1. Maak de volgende DWORD-waardeparen:
      • SchUseStrongCrypto [Waarde = 1]
      • SystemDefaultTlsVersions [Waarde = 1]
4. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   1. Maak de volgende DWORD-waardeparen:
      • SchUseStrongCrypto [Waarde = 1]
      • SystemDefaultTlsVersions [Waarde = 1]
5. Zoek de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
   1. Maak de volgende DWORD-waardeparen:
      • SchUseStrongCrypto [Waarde = 1]
      • SystemDefaultTlsVersions [Waarde = 1]
6. Start het systeem opnieuw op om de instellingen van kracht te laten worden.

Methode 2: het register wijzigen met PowerShell

Voer het volgende Windows PowerShell-script uit in de beheerdersmodus om .NET Framework automatisch te configureren om framework-overgenomen TLS 1.0-afhankelijkheden te voorkomen:

# Allow .NET Framework to use higher levels of Cryptography
$NetRegistryPath1 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath1 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath1 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath2 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath2 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath2 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath3 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath3 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath3 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath4 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath4 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath4 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

Aanvullende instellingen

Als u een ondersteunde versie van een Linux-server bewaakt met Operations Manager, volgt u de instructies op de juiste website voor uw distributie om TLS 1.2 te configureren.

Services voor auditverzameling

Voor Audit Collection Services (ACS) moeten aanvullende wijzigingen worden aangebracht in het register op de ACS Collector-server. ACS maakt gebruik van de ODBC-gegevensbronnaam (DSN) om verbindingen met de database te maken. Zorg ervoor dat de DSN-instellingen zijn bijgewerkt om ze functioneel te maken voor TLS 1.2.

1. Meld u aan bij de server met een account met lokale beheerdersreferenties.

2. Start de Register-editor door Startte selecteren en vast te houden, voer regedit- in het tekstvak Uitvoeren uit en selecteer OK-.

3. Zoek de volgende ODBC-subsleutel voor OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

   Notitie

   De standaardnaam van DSN is OpsMgrAC.

4. Selecteer onder ODBC-gegevensbronnen subsleutel de DSN-naam OpsMgrAC. Dit bevat de naam van het ODBC-stuurprogramma dat moet worden gebruikt voor de databaseverbinding. Als ODBC 17 is geïnstalleerd, wijzigt u deze naam in ODBC-stuurprogramma 17 voor SQL Server.

5. Werk onder de subsleutel OpsMgrAC- het -stuurprogramma bij voor de ODBC-versie die is geïnstalleerd.

   • Als ODBC 17 bijvoorbeeld is geïnstalleerd, wijzigt u de driverinvoer in %WINDIR%\system32\msodbcsql17.dll.
   • Controleer de naam van het DLL-bestand voor de huidige versie van het ODBC-stuurprogramma dat is geïnstalleerd als dit anders is.

Registerbestand

U kunt ook het volgende .reg-bestand maken en opslaan in Kladblok of een andere teksteditor. Dubbelklik op het bestand om het opgeslagen .reg-bestand uit te voeren.

• Maak voor ODBC 17 het volgende ODBC-17.reg-bestand:

  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
  "OpsMgrAC"="ODBC Driver 17 for SQL Server"
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
  "Driver"="%WINDIR%\system32\msodbcsql17.dll"
  

PowerShell

U kunt ook de volgende PowerShell-opdrachten uitvoeren om de wijziging te automatiseren.

• Zorg ervoor dat u het dll-bestandspad vervangt door een geschikte versie als u een andere VERSIE van het ODBC-stuurprogramma gebruikt dan 17.

  New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
  New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
  

Volgende stappen

• Zie Het oplossen van het TLS 1.0-probleemvoor meer informatie over TLS 1.0 van ons beveiligingstechnisch team.
• Zie Firewall configureren voor Operations Manager-voor een volledige lijst met gebruikte poorten, de richting van de communicatie en als de poorten kunnen worden geconfigureerd.
• Zie Verificatie en gegevensversleuteling in Operations Manager-voor een algemeen overzicht van hoe gegevens tussen onderdelen in een beheergroep worden beveiligd.