Implementieren von Transport Layer Security 1.2

In diesem Artikel wird beschrieben, wie System Center Operations Manager die Verwendung von Transport Layer Security (TLS) 1.2 ermöglicht.

Führen Sie die folgenden Schritte aus, um die TLS-Protokollversion 1.2 in Operations Manager zu implementieren:

Operations Manager generiert selbstsignierte SHA1‑ und SHA2-Zertifikate. Dies ist erforderlich, um TLS 1.2 zu aktivieren. Wenn von einer Zertifizierungsstelle signierte Zertifikate verwendet werden, stellen Sie sicher, dass die Zertifikate entweder SHA1 oder SHA2 sind.

Konfigurieren des Windows-Betriebssystems für die ausschließliche Verwendung des TLS 1.2-Protokolls

Verwenden Sie eine der folgenden Methoden, um Windows so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird.

Methode 1: Manuelle Bearbeitung der Registrierung

Führen Sie die folgenden Schritte aus, um alle SCHANNEL-Protokolle im gesamten System zu aktivieren oder zu deaktivieren. Sie sollten das TLS 1.2-Protokoll für alle eingehende und ausgehende Kommunikation aktivieren.

1. Melden Sie sich auf dem Server mit einem Konto an, das über lokale Administratoranmeldeinformationen verfügt.

2. Starten Sie den Registrierungs-Editor, indem Sie Start auswählen und gedrückt halten, regedit im Textfeld Ausführen eingeben und dann auf OK klicken.

3. Suchen Sie den folgenden Registrierungsunterschlüssel:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

4. Erstellen Sie unter "Protokolle" einen Unterschlüssel für:

   1. SSL 2.0
   2. SSL 3.0
   3. TLS 1.0
   4. TLS 1.1
   5. TLS 1.2.

5. Erstellen Sie einen Unterscchlüssel Client und Server unter dem Protokoll-Versionsunterschlüssel, den Sie zuvor erstellt haben. Beispielsweise wäre der Unterschlüssel für TLS 1.0

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

6. Erstellen Sie die folgenden DWORD-Werte unter Server und Client, um jedes Protokoll zu deaktivieren.

   • Enabled [Value = 0]
   • DisabledByDefault [Value = 1]

7. Um das TLS 1.2-Protokoll zu aktivieren, erstellen Sie die folgenden Registrierungsschlüssel:

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

8. Erstellen Sie dann die folgenden DWORD-Werte unter Server und Client:

   • Enabled [Wert = 1]
   • DisabledByDefault [Wert = 0]

9. Schließen Sie den Registrierungs-Editor.

Methode 2: Automatische Bearbeitung der Registrierung

Führen Sie das folgende Windows PowerShell-Skript als Admin aus, um das Windows-Betriebssystem automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
    foreach ($key in $ProtocolSubKeyList)
    {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Output "Current Registry Path: `"$currentRegPath`""

  if (!(Test-Path $currentRegPath))
  {
    Write-Output " `'$key`' not found: Creating new Registry Key"
    New-Item -Path $currentRegPath -Force | out-Null
  }
  if ($Protocol -eq "TLS 1.2")
  {
    Write-Output " Enabling - TLS 1.2"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
  }
  else
  {
    Write-Output " Disabling - $Protocol"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
  }
  Write-Output " "
}

Konfigurieren von .NET Framework für die Verwendung von TLS 1.2

.NET erfordert in der Regel, dass die Anwendung definiert, welches TLS-Protokoll für die Kommunikation verwendet werden soll. In der Instanz von SCOM müssen wir jedoch .NET systemweit mitteilen, welches Protokoll verwendet werden soll.

Führen Sie nach Abschluss der Konfiguration aller Voraussetzungen für Operations Manager die folgenden Schritte auf allen Verwaltungsservern, dem Server mit der Webkonsolenrolle und auf jedem Windows-Computer aus, auf dem der Agent installiert ist.

Ändern Sie die Registrierung manuell

1. Öffnen Sie den Registrierungs-Editor.
2. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727
   1. Erstellen Sie die folgenden DWORD-Wertpaare:
      • SchUseStrongCrypto [Wert = 1]
      • SystemDefaultTlsVersions [Wert = 1]
3. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727
   1. Erstellen Sie die folgenden DWORD-Wertpaare:
      • SchUseStrongCrypto [Wert = 1]
      • SystemDefaultTlsVersions [Wert = 1]
4. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   1. Erstellen Sie die folgenden DWORD-Wertpaare:
      • SchUseStrongCrypto [Wert = 1]
      • SystemDefaultTlsVersions [Wert = 1]
5. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
   1. Erstellen Sie die folgenden DWORD-Wertpaare:
      • SchUseStrongCrypto [Wert = 1]
      • SystemDefaultTlsVersions [Wert = 1]
6. Starten Sie das System neu, damit die Einstellungen wirksam werden.

Automatische Änderung der Registrierung

Führen Sie das folgende Windows PowerShell-Skript im Administratormodus aus, um .NET Framework automatisch zu konfigurieren, um frameworkvererbte TLS 1.0-Abhängigkeiten zu verhindern:

# Tighten up the .NET Framework
$NetRegistryPath1 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath1 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath1 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath2 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath2 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath2 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath3 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath3 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath3 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath4 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath4 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath4 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

Zusätzliche Einstellungen

Wenn Sie eine unterstützte Version von Linux-Server mit Operations Manager überwachen, befolgen Sie die Anweisungen auf der entsprechenden Website für Ihre Distribution zur Konfiguration von TLS 1.2.

Nächste Schritte

• Eine vollständige Auflistung der verwendeten Ports, die Richtung der Kommunikation und die Konfigurationsmöglichkeiten für Ports finden Sie unter Konfigurieren einer Firewall für Operations Manager.

• Eine allgemeine Überprüfung, wie Daten zwischen Komponenten in einer Verwaltungsgruppe geschützt werden, finden Sie unter Authentifizierung und Datenverschlüsselung in Operations Manager.