Compartilhar via


Como ativar o TLS 1.2

Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)

Transport Layer Security (TLS), como Secure Sockets Layer (SSL), é um protocolo de encriptação destinado a manter os dados seguros quando são transferidos através de uma rede. Estes artigos descrevem os passos necessários para garantir que Configuration Manager comunicação segura utiliza o protocolo TLS 1.2. Estes artigos também descrevem os requisitos de atualização para os componentes utilizados frequentemente e a resolução de problemas comuns.

Ativar o TLS 1.2

Configuration Manager depende de muitos componentes diferentes para uma comunicação segura. O protocolo utilizado para uma determinada ligação depende das capacidades dos componentes relevantes do lado do cliente e do servidor. Se algum componente estiver desatualizado ou não estiver configurado corretamente, a comunicação poderá utilizar um protocolo mais antigo e menos seguro. Para ativar corretamente Configuration Manager para suportar o TLS 1.2 para todas as comunicações seguras, tem de ativar o TLS 1.2 para todos os componentes necessários. Os componentes necessários dependem do seu ambiente e das funcionalidades de Configuration Manager que utiliza.

Importante

Inicie este processo com os clientes, especialmente as versões anteriores do Windows. Antes de ativar o TLS 1.2 e desativar os protocolos mais antigos nos servidores Configuration Manager, certifique-se de que todos os clientes suportam o TLS 1.2. Caso contrário, os clientes não podem comunicar com os servidores e podem ficar órfãos.

Tarefas para clientes Configuration Manager, servidores de sites e sistemas de sites remotos

Para ativar o TLS 1.2 para componentes que Configuration Manager dependem para uma comunicação segura, terá de realizar várias tarefas nos clientes e nos servidores do site.

Ativar o TLS 1.2 para clientes Configuration Manager

Ativar o TLS 1.2 para Configuration Manager servidores de sites e sistemas de sites remotos

Funcionalidades e dependências de cenário

Esta secção descreve as dependências de cenários e funcionalidades de Configuration Manager específicos. Para determinar os passos seguintes, localize os itens que se aplicam ao seu ambiente.

Funcionalidade ou cenário Atualizar tarefas
Servidores do site (central, primário ou secundário) - Atualizar .NET Framework
- Verificar as definições de criptografia fortes
Servidor da base de dados do site Atualizar SQL Server e respetivos componentes de cliente
Servidores de site secundários Atualize SQL Server e os respetivos componentes de cliente para uma versão compatível do SQL Server Express
Funções do sistema de sites - Atualizar .NET Framework e verificar as definições de criptografia fortes
- Atualize SQL Server e respetivos componentes de cliente em funções que o exijam, incluindo o SQL Server Native Client
Ponto do Reporting Services - Atualize .NET Framework no servidor do site, nos servidores SQL Server Reporting Services e em qualquer computador com a consola do
- Reinicie o serviço SMS_Executive conforme necessário
Ponto de atualização de software Atualizar o WSUS
Gateway de gestão da cloud Impor o TLS 1.2
Configuration Manager consola - Atualizar .NET Framework
- Verificar as definições de criptografia fortes
Configuration Manager cliente com funções de sistema de sites HTTPS Atualizar o Windows para suportar o TLS 1.2 para comunicações cliente-servidor com WinHTTP
Centro de Software - Atualizar .NET Framework
- Verificar as definições de criptografia fortes
Clientes do Windows 7 Antes de ativar o TLS 1.2 em qualquer componente do servidor, atualize o Windows para suportar o TLS 1.2 para comunicações cliente-servidor utilizando WinHTTP. Se ativar primeiro o TLS 1.2 nos componentes do servidor, pode ficar órfão em versões anteriores de clientes.

Perguntas frequentes

Porquê utilizar o TLS 1.2 com Configuration Manager?

O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Essencialmente, o TLS 1.2 mantém os dados transferidos através da rede mais seguros.

Onde é que Configuration Manager utilizam protocolos de encriptação como o TLS 1.2?

Existem basicamente cinco áreas que Configuration Manager utilizam protocolos de encriptação como o TLS 1.2:

  • Comunicações de cliente para funções de servidor de site baseadas em IIS quando a função está configurada para utilizar HTTPS. Exemplos destas funções incluem pontos de distribuição, pontos de atualização de software e pontos de gestão.
  • Comunicações de ponto de gestão, SMS Executive e Fornecedor de SMS com o SQL. Configuration Manager encripta sempre comunicações SQL Server.
  • Servidor do Site para comunicações WSUS se o WSUS estiver configurado para utilizar HTTPS.
  • A consola Configuration Manager para SQL Server Reporting Services (SSRS) se o SSRS estiver configurado para utilizar HTTPS.
  • Quaisquer ligações a serviços baseados na Internet. Os exemplos incluem o gateway de gestão da cloud (CMG), a sincronização do ponto de ligação de serviço e a sincronização dos metadados de atualização do Microsoft Update.

O que determina que protocolo de encriptação é utilizado?

O HTTPS negociará sempre a versão de protocolo mais alta que é suportada pelo cliente e pelo servidor numa conversação encriptada. Ao estabelecer uma ligação, o cliente envia uma mensagem para o servidor com o protocolo mais alto disponível. Se o servidor suportar a mesma versão, envia uma mensagem com essa versão. Esta versão negociada é a que é utilizada para a ligação. Se o servidor não suportar a versão apresentada pelo cliente, a mensagem do servidor especificará a versão mais alta que pode utilizar. Para obter mais informações sobre o protocolo TLS Handshake, veja Establishing a Secure Session by using TLS (Estabelecer uma Sessão Segura com o TLS).

O que determina a versão do protocolo que o cliente e o servidor podem utilizar?

Geralmente, os seguintes itens podem determinar que versão do protocolo é utilizada:

  • A aplicação pode ditar as versões específicas do protocolo a negociar.
    • As melhores práticas ditam para evitar a codificação de versões específicas do protocolo ao nível da aplicação e para seguir a configuração definida ao nível do componente e do protocolo do SO.
    • Configuration Manager segue esta melhor prática.
  • Para aplicações escritas com o .NET Framework, as versões de protocolo predefinidas dependem da versão da arquitetura em que foram compiladas.
    • As versões .NET anteriores à 4.6.3 não incluíam o TLS 1.1 e 1.2 na lista de protocolos para negociação, por predefinição.
  • As aplicações que utilizam WinHTTP para comunicações HTTPS, como o cliente Configuration Manager, dependem da versão do SO, do nível do patch e da configuração para o suporte da versão do protocolo.

Recursos adicionais

Próximas etapas