Como ativar o TLS 1.2
Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)
Transport Layer Security (TLS), como Secure Sockets Layer (SSL), é um protocolo de encriptação destinado a manter os dados seguros quando são transferidos através de uma rede. Estes artigos descrevem os passos necessários para garantir que Configuration Manager comunicação segura utiliza o protocolo TLS 1.2. Estes artigos também descrevem os requisitos de atualização para os componentes utilizados frequentemente e a resolução de problemas comuns.
Ativar o TLS 1.2
Configuration Manager depende de muitos componentes diferentes para uma comunicação segura. O protocolo utilizado para uma determinada ligação depende das capacidades dos componentes relevantes do lado do cliente e do servidor. Se algum componente estiver desatualizado ou não estiver configurado corretamente, a comunicação poderá utilizar um protocolo mais antigo e menos seguro. Para ativar corretamente Configuration Manager para suportar o TLS 1.2 para todas as comunicações seguras, tem de ativar o TLS 1.2 para todos os componentes necessários. Os componentes necessários dependem do seu ambiente e das funcionalidades de Configuration Manager que utiliza.
Importante
Inicie este processo com os clientes, especialmente as versões anteriores do Windows. Antes de ativar o TLS 1.2 e desativar os protocolos mais antigos nos servidores Configuration Manager, certifique-se de que todos os clientes suportam o TLS 1.2. Caso contrário, os clientes não podem comunicar com os servidores e podem ficar órfãos.
Tarefas para clientes Configuration Manager, servidores de sites e sistemas de sites remotos
Para ativar o TLS 1.2 para componentes que Configuration Manager dependem para uma comunicação segura, terá de realizar várias tarefas nos clientes e nos servidores do site.
Ativar o TLS 1.2 para clientes Configuration Manager
- Atualizar o Windows e o WinHTTP no Windows 8.0, Windows Server 2012 (não R2) e anterior
- Confirme que o TLS 1.2 está ativado como um protocolo para o SChannel ao nível do SO
- Atualizar e configurar o .NET Framework para suportar o TLS 1.2
Ativar o TLS 1.2 para Configuration Manager servidores de sites e sistemas de sites remotos
- Confirme que o TLS 1.2 está ativado como um protocolo para o SChannel ao nível do SO
- Atualizar e configurar o .NET Framework para suportar o TLS 1.2
- Atualizar SQL Server e a SQL Server Native Client
- Atualizar Windows Server Update Services (WSUS)
Funcionalidades e dependências de cenário
Esta secção descreve as dependências de cenários e funcionalidades de Configuration Manager específicos. Para determinar os passos seguintes, localize os itens que se aplicam ao seu ambiente.
| Funcionalidade ou cenário | Atualizar tarefas |
|---|---|
| Servidores do site (central, primário ou secundário) |
-
Atualizar .NET Framework - Verificar as definições de criptografia fortes |
| Servidor da base de dados do site | Atualizar SQL Server e respetivos componentes de cliente |
| Servidores de site secundários | Atualize SQL Server e os respetivos componentes de cliente para uma versão compatível do SQL Server Express |
| Funções do sistema de sites |
-
Atualizar .NET Framework e verificar as definições de criptografia fortes - Atualize SQL Server e respetivos componentes de cliente em funções que o exijam, incluindo o SQL Server Native Client |
| Ponto do Reporting Services |
-
Atualize .NET Framework no servidor do site, nos servidores SQL Server Reporting Services e em qualquer computador com a consola do - Reinicie o serviço SMS_Executive conforme necessário |
| Ponto de atualização de software | Atualizar o WSUS |
| Gateway de gestão da cloud | Impor o TLS 1.2 |
| Configuration Manager consola |
-
Atualizar .NET Framework - Verificar as definições de criptografia fortes |
| Configuration Manager cliente com funções de sistema de sites HTTPS | Atualizar o Windows para suportar o TLS 1.2 para comunicações cliente-servidor com WinHTTP |
| Centro de Software |
-
Atualizar .NET Framework - Verificar as definições de criptografia fortes |
| Clientes do Windows 7 | Antes de ativar o TLS 1.2 em qualquer componente do servidor, atualize o Windows para suportar o TLS 1.2 para comunicações cliente-servidor utilizando WinHTTP. Se ativar primeiro o TLS 1.2 nos componentes do servidor, pode ficar órfão em versões anteriores de clientes. |
Perguntas frequentes
Porquê utilizar o TLS 1.2 com Configuration Manager?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Essencialmente, o TLS 1.2 mantém os dados transferidos através da rede mais seguros.
Onde é que Configuration Manager utilizam protocolos de encriptação como o TLS 1.2?
Existem basicamente cinco áreas que Configuration Manager utilizam protocolos de encriptação como o TLS 1.2:
- Comunicações de cliente para funções de servidor de site baseadas em IIS quando a função está configurada para utilizar HTTPS. Exemplos destas funções incluem pontos de distribuição, pontos de atualização de software e pontos de gestão.
- Comunicações de ponto de gestão, SMS Executive e Fornecedor de SMS com o SQL. Configuration Manager encripta sempre comunicações SQL Server.
- Servidor do Site para comunicações WSUS se o WSUS estiver configurado para utilizar HTTPS.
- A consola Configuration Manager para SQL Server Reporting Services (SSRS) se o SSRS estiver configurado para utilizar HTTPS.
- Quaisquer ligações a serviços baseados na Internet. Os exemplos incluem o gateway de gestão da cloud (CMG), a sincronização do ponto de ligação de serviço e a sincronização dos metadados de atualização do Microsoft Update.
O que determina que protocolo de encriptação é utilizado?
O HTTPS negociará sempre a versão de protocolo mais alta que é suportada pelo cliente e pelo servidor numa conversação encriptada. Ao estabelecer uma ligação, o cliente envia uma mensagem para o servidor com o protocolo mais alto disponível. Se o servidor suportar a mesma versão, envia uma mensagem com essa versão. Esta versão negociada é a que é utilizada para a ligação. Se o servidor não suportar a versão apresentada pelo cliente, a mensagem do servidor especificará a versão mais alta que pode utilizar. Para obter mais informações sobre o protocolo TLS Handshake, veja Establishing a Secure Session by using TLS (Estabelecer uma Sessão Segura com o TLS).
O que determina a versão do protocolo que o cliente e o servidor podem utilizar?
Geralmente, os seguintes itens podem determinar que versão do protocolo é utilizada:
- A aplicação pode ditar as versões específicas do protocolo a negociar.
- As melhores práticas ditam para evitar a codificação de versões específicas do protocolo ao nível da aplicação e para seguir a configuração definida ao nível do componente e do protocolo do SO.
- Configuration Manager segue esta melhor prática.
- Para aplicações escritas com o .NET Framework, as versões de protocolo predefinidas dependem da versão da arquitetura em que foram compiladas.
- As versões .NET anteriores à 4.6.3 não incluíam o TLS 1.1 e 1.2 na lista de protocolos para negociação, por predefinição.
- As aplicações que utilizam WinHTTP para comunicações HTTPS, como o cliente Configuration Manager, dependem da versão do SO, do nível do patch e da configuração para o suporte da versão do protocolo.
Recursos adicionais
- Referência técnica de controles criptográficos
- Melhores práticas de segurança de camada de transporte (TLS) com o .NET Framework
- KB 3135244: suporte do TLS 1.2 para o Microsoft SQL Server