Como ativar o TLS 1.2
Aplica-se a: Gestor de Configuração (Filial Atual)
Transport Layer Security (TLS), como Secure Sockets Layer (SSL), é um protocolo de encriptação destinado a manter os dados seguros quando são transferidos por uma rede. Estes artigos descrevem os passos necessários para garantir que o Gestor de Configuração utiliza o protocolo TLS 1.2. Estes artigos também descrevem requisitos de atualização para componentes geralmente utilizados e problemas comuns de resolução de problemas.
Ativar o TLS 1.2
O Gestor de Configuração conta com vários componentes diferentes para uma comunicação segura. O protocolo que é usado para uma determinada ligação depende das capacidades dos componentes relevantes tanto do lado do cliente como do servidor. Se algum componente estiver desatualizado ou não estiver devidamente configurado, a comunicação poderá utilizar um protocolo mais antigo e menos seguro. Para ativar corretamente o Gestor de Configuração para suportar o TLS 1.2 para todas as comunicações seguras, deve ativar o TLS 1.2 para todos os componentes necessários. Os componentes necessários dependem do ambiente e das funcionalidades do Gestor de Configuração que utiliza.
Importante
Inicie este processo com os clientes, especialmente versões anteriores de Windows. Antes de ativar o TLS 1.2 e desativar os protocolos mais antigos nos servidores do Gestor de Configuração, certifique-se de que todos os clientes suportam o TLS 1.2. Caso contrário, os clientes não podem comunicar com os servidores e podem ficar órfãos.
Tarefas para clientes do Gestor de Configuração, servidores de sites e sistemas de sites remotos
Para ativar o TLS 1.2 para componentes de que o Gestor de Configuração depende para uma comunicação segura, terá de fazer múltiplas tarefas tanto nos clientes como nos servidores do site.
Ativar TLS 1.2 para clientes Gestor de Configuração
- Atualizar Windows e WinHTTP em Windows 8.0, Windows Server 2012 (não-R2) e mais cedo
- Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel ao nível dos OS
- Atualizar e configurar o .NET Framework de suporte TLS 1.2
Ativar O TLS 1.2 para servidores de sites do Gestor de Configuração e sistemas de sites remotos
- Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel ao nível dos OS
- Atualizar e configurar o .NET Framework de suporte TLS 1.2
- Atualizar SQL Server e o SQL Server Native Client
- Atualização Windows Server Update Services (WSUS)
Características e dependências de cenários
Esta secção descreve as dependências para funcionalidades e cenários específicos do Gestor de Configuração. Para determinar os próximos passos, localize os itens que se aplicam ao seu ambiente.
| Recurso ou cenário | Atualizar tarefas |
|---|---|
| Servidores do site (central, primário ou secundário) | - Atualizar .NET Framework - Verificar configurações de criptografia fortes |
| Servidor da base de dados do site | Atualizar SQL Server e os seus componentes clientes |
| Servidores de sites secundários | Atualize SQL Server e seus componentes clientes para uma versão compatível de SQL Server Express |
| Funções do sistema de sites | - Atualizar .NET Framework e verificar configurações de criptografia fortes - Atualize SQL Server e os seus componentes clientes sobre funções que o exijam, incluindo o SQL Server Native Client |
| Ponto do Reporting Services | - Atualizar .NET Framework no servidor do site, nos servidores SQL Server Reporting Services e em qualquer computador com a consola - Reiniciar o serviço de SMS_Executive se necessário |
| Ponto de atualização de software | Atualizar WSUS |
| Gateway de gestão da cloud | Impor TLS 1.2 |
| Consola do Configuration Manager | - Atualizar .NET Framework - Verificar configurações de criptografia fortes |
| Cliente do Gestor de Configuração com funções de sistema de site HTTPS | Atualizar Windows para suportar TLS 1.2 para comunicações de servidores de clientes utilizando o WinHTTP |
| Centro de Software | - Atualizar .NET Framework - Verificar configurações de criptografia fortes |
| Windows 7 clientes | Antes de ativar o TLS 1.2 em quaisquer componentes do servidor, atualize Windows para suportar o TLS 1.2 para comunicações com servidores de clientes utilizando o WinHTTP. Se ativar o TLS 1.2 primeiro nos componentes do servidor, pode órfão versões anteriores dos clientes. |
Perguntas mais frequentes
Porquê utilizar o TLS 1.2 com o Gestor de Configuração?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, tais como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Essencialmente, o TLS 1.2 mantém os dados a serem transferidos através da rede mais seguros.
Onde é que o Gestor de Configuração utiliza protocolos de encriptação como o TLS 1.2?
Existem basicamente cinco áreas que o Gestor de Configuração usa protocolos de encriptação como TLS 1.2:
- Comunicações do cliente para funções de servidor de site baseadas no IIS quando a função é configurada para usar HTTPS. Exemplos destas funções incluem pontos de distribuição, pontos de atualização de software e pontos de gestão.
- Ponto de gestão, SMS Executive e SMS Provider comunicações com SQL. O Gestor de Configuração encripta sempre SQL Server comunicações.
- Servidor do site para comunicações WSUS se o WSUS estiver configurado para utilizar HTTPS.
- A consola Do Gestor de Configuração para SQL Server Reporting Services (SSRS) se o SSRS estiver configurado para utilizar HTTPS.
- Quaisquer ligações a serviços baseados na Internet. Exemplos incluem o gateway de gestão de nuvem (CMG), a sincronização do ponto de ligação de serviço e a sincronização de metadados de atualização do Microsoft Update.
O que determina qual o protocolo de encriptação usado?
HTTPS negociará sempre a versão de protocolo mais alta que é suportada tanto pelo cliente como pelo servidor numa conversa encriptada. Ao estabelecer uma ligação, o cliente envia uma mensagem para o servidor com o seu protocolo mais alto disponível. Se o servidor suportar a mesma versão, envia uma mensagem utilizando esta versão. Esta versão negociada é a que é usada para a ligação. Se o servidor não suportar a versão apresentada pelo cliente, a mensagem do servidor especificará a versão mais alta que pode utilizar. Para obter mais informações sobre o protocolo de aperto de mão TLS, consulte estabelecer uma Sessão Segura utilizando OLS.
O que determina qual a versão protocolar que o cliente e o servidor podem utilizar?
Geralmente, os seguintes itens podem determinar qual a versão protocolar utilizada:
- A aplicação pode ditar quais versões específicas do protocolo para negociar.
- As melhores práticas ditam evitar versões específicas de codificação rígidas ao nível da aplicação e seguir a configuração definida ao nível do protocolo de componente e do sistema operativo.
- O Gestor de Configuração segue esta melhor prática.
- Para aplicações escritas utilizando o .NET Framework, as versões de protocolo predefinido dependem da versão do quadro em que foram compiladas.
- .NET versões antes de 4.6.3 não incluíam TLS 1.1 e 1.2 na lista de protocolos de negociação, por defeito.
- As aplicações que utilizam o WinHTTP para comunicações HTTPS, como o cliente Do Gestor de Configuração, dependem da versão OS, do nível de correção e da configuração para suporte à versão protocolar.
Recursos adicionais
- Referência técnica de controlos criptográficos
- Segurança da camada de transporte (TLS) boas práticas com o .NET Framework
- KB 3135244: Suporte TLS 1.2 para Microsoft SQL Server