Partager via


Comment implémenter transport Layer Security 1.2

Cet article explique comment activer le protocole TLS (Transport Layer Security) version 1.2 pour un groupe d’administration System Center Operations Manager.

Remarque

Operations Manager utilise le protocole configuré au niveau du système d’exploitation. Par exemple, si TLS 1.0, TLS 1.1 et TLS 1.2 sont activés au niveau du système d’exploitation, Operations Manager sélectionnera l’un des trois protocoles dans l’ordre de préférence suivant :

  1. TLS version 1.2
  2. TLS version 1.1
  3. TLS version 1.0

Le SSP Schannel sélectionne ensuite le protocole d’authentification préféré que le client et le serveur peuvent prendre en charge.

Procédez comme suit pour activer le protocole TLS version 1.2 :

Remarque

Microsoft OLE DB Driver 18 pour SQL Server (recommandé) est pris en charge avec Operations Manager 2016 UR9 et versions ultérieures.

  1. Installez SQL Server 2012 Native Client 11.0 ou Microsoft OLE DB Driver 18 pour SQL Server sur tous les serveurs d’administration et le serveur de console web.
  2. Installez .NET Framework 4.6 sur tous les serveurs d’administration, serveurs de passerelle, serveur de console web et SQL Server hébergeant les bases de données Operations Manager et le rôle serveur de rapports.
  3. Installez la mise à jour SQL Server requise qui prend en charge TLS 1.2.
  4. Installez ODBC 11.0 ou ODBC 13.0 sur tous les serveurs d’administration.
  5. Pour System Center 2016 - Operations Manager, installez le correctif cumulatif 4 ou version ultérieure.
  6. Configurez Windows pour qu’il utilise uniquement TLS 1.2.
  7. Configurez Operations Manager pour utiliser uniquement TLS 1.2.
  1. Installez Microsoft OLE DB Driver version 18.2 vers 18.7.2 sur tous les serveurs d’administration et le serveur de console Web.
  2. Installez .NET Framework 4.6 sur tous les serveurs d’administration, serveurs de passerelle, serveur de console web et SQL Server hébergeant les bases de données Operations Manager et le rôle serveur de rapports.
  3. Installez la mise à jour SQL Server requise qui prend en charge TLS 1.2.
  4. Installez ODBC Driver version 17.3 à 17.10.6 sur tous les serveurs d’administration.
  5. Configurez Windows pour qu’il utilise uniquement TLS 1.2.
  6. Configurez Operations Manager pour utiliser uniquement TLS 1.2.

Operations Manager génère des certificats SHA1 et SHA2 auto-signés. Cela est nécessaire pour activer TLS 1.2. Si les certificats signés par l’autorité de certification sont utilisés, vérifiez que les certificats sont SHA1 ou SHA2.

Remarque

Si vos stratégies de sécurité limitent TLS 1.0 et 1.1, l’installation d’un nouveau serveur d’administration Operations Manager 2016, du serveur de passerelle, de la console web et du rôle Reporting Services échoue, car le support d’installation n’inclut pas les mises à jour pour prendre en charge TLS 1.2. La seule façon d’installer ces rôles consiste à activer TLS 1.0 sur le système, à appliquer le correctif cumulatif 4, puis à activer TLS 1.2 sur le système.

Configurer le système d’exploitation Windows pour utiliser uniquement le protocole TLS 1.2

Utilisez l’une des méthodes suivantes pour configurer Windows pour utiliser uniquement le protocole TLS 1.2.

Méthode 1 : Modifier manuellement le Registre

Important

Suivez attentivement les étapes décrites dans cette section. De graves problèmes peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de le modifier, sauvegardez le Registre afin de pouvoir le restaurer en cas de problème.

Utilisez les étapes suivantes pour activer/désactiver tous les protocoles SCHANNEL à l’échelle du système. Nous vous recommandons d’activer le protocole TLS 1.2 pour toutes les communications entrantes et sortantes.

Remarque

L’application de ces modifications de Registre n’affecte pas l’utilisation des protocoles Kerberos ou NTLM.

  1. Connectez-vous au serveur en utilisant un compte disposant des informations d’identification d’administration locales.

  2. Démarrez l’Éditeur du Registre en sélectionnant et en maintenant Démarrer, entrez regedit dans la zone de texte Exécuter , puis sélectionnez OK.

  3. Recherchez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. Créez une sous-clé sous Protocoles pour SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 et TLS 1.2.

  5. Créez une sous-clé client et serveur sous chaque sous-clé de version du protocole que vous avez créée précédemment. Par exemple, la sous-clé pour TLS 1.0 serait HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

  6. Pour désactiver chaque protocole, créez les valeurs DWORD suivantes sous Serveur et Client :

    • Activé [Valeur = 0]
    • DisabledByDefault [Value = 1]
  7. Pour activer le protocole TLS 1.2, créez les valeurs DWORD suivantes sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

    • Enabled [Valeur = 1]
    • DisabledByDefault [Valeur = 0]
  8. Fermez l’Éditeur du Registre.

Méthode 2 : Modifier automatiquement le Registre

Exécutez le script Windows PowerShell suivant en tant qu’administrateur pour configurer automatiquement votre système d’exploitation Windows pour utiliser uniquement le protocole TLS 1.2 :

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Configurer Operations Manager pour utiliser uniquement TLS 1.2

Une fois la configuration de toutes les conditions préalables requises pour Operations Manager, effectuez les étapes suivantes sur tous les serveurs d’administration, le serveur hébergeant le rôle de console web et sur n’importe quel ordinateur Windows sur lequel l’agent est installé.

Important

Suivez attentivement les étapes décrites dans cette section. De graves problèmes peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant d’apporter des modifications, sauvegardez le Registre pour la restauration en cas de problèmes.

Remarque

SCOM 2012 R2 s’exécutant dans Windows OS 2012 nécessite des modifications supplémentaires pour utiliser TLS 1.2 sur HTTP pour la surveillance UNIX/LINUX. Pour activer TLS 1.2 comme protocoles de sécurité par défaut dans WinHTTP dans Windows, les modifications suivantes doivent être apportées en fonction de la mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows.

  1. Installez KB3140245 sur les serveurs de serveurs d’administration/passerelles dans le pool de ressources UNIX/LINUX.
  2. Sauvegardez les registres modifiés comme indiqué dans l’article de la Base de connaissances.
  3. Téléchargez et exécutez l’outil Easy Fix sur les serveurs d’administration/passerelles dans le pool de ressources UNIX/LINUX.
  4. Redémarrez les serveurs.

Modifier manuellement le Registre

  1. Connectez-vous au serveur en utilisant un compte disposant des informations d’identification d’administration locales.
  2. Démarrez l’Éditeur du Registre en sélectionnant et en maintenant Démarrer, entrez regedit dans la zone de texte Exécuter , puis sélectionnez OK.
  3. Recherchez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Créez la valeur DWORD SchUseStrongCrypto sous cette sous-clé avec la valeur 1.
  5. Recherchez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Créez la valeur DWORD SchUseStrongCrypto sous cette sous-clé avec la valeur 1.
  7. Redémarrez le système pour que les paramètres s’appliquent.

Modifier automatiquement le Registre

Exécutez le script Windows PowerShell suivant en mode Administrateur pour configurer automatiquement Operations Manager pour utiliser uniquement le protocole TLS 1.2 :

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Paramètres supplémentaires

Si cette opération est implémentée pour System Center 2016 - Operations Manager, après avoir appliqué le correctif cumulatif 4, veillez à importer les packs d’administration inclus dans ce correctif cumulatif situé dans le répertoire suivant : \Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.

Si vous monitorez une version prise en charge d’un serveur Linux avec Operations Manager, suivez les instructions du site web de votre distributeur pour configurer TLS 1.2.

Services de collecte d’audit

Pour Audit Collection Services (ACS), vous devez apporter des modifications supplémentaires dans le Registre sur le serveur collecteur ACS. ACS utilise le DSN pour établir des connexions à la base de données. Vous devez mettre à jour les paramètres DSN pour les rendre fonctionnels pour TLS 1.2.

  1. Connectez-vous au serveur en utilisant un compte disposant des informations d’identification d’administration locales.

  2. Démarrez l’Éditeur du Registre en sélectionnant et en maintenant Démarrer, entrez regedit dans la zone de texte Exécuter , puis sélectionnez OK.

  3. Recherchez la sous-clé ODBC suivante pour OpsMgrAC : HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Remarque

    Le nom par défaut de DSN est OpsMgrAC.

  4. Sous-clé sources de données ODBC, sélectionnez le nom DSN OpsMgrAC. Il contient le nom du pilote ODBC à utiliser pour la connexion de base de données. Si ODBC 11.0 est installé, remplacez ce nom par ODBC Driver 11 pour SQL Server ou si ODBC 13.0 est installé, remplacez ce nom par ODBC Driver 13 pour SQL Server.

  5. Sous la sous-clé OpsMgrAC , mettez à jour le pilote pour la version ODBC installée.

    • Si ODBC 11.0 est installé, remplacez l’entrée %WINDIR%\system32\msodbcsql11.dlldu pilote par .
    • Si ODBC 13.0 est installé, remplacez l’entrée %WINDIR%\system32\msodbcsql13.dlldu pilote par .

    Fichier du Registre

    Vous pouvez également créer et enregistrer le fichier .reg suivant dans le Bloc-notes ou un autre éditeur de texte. Pour exécuter le fichier .reg enregistré, double-cliquez sur le fichier.

    • Pour ODBC 11.0, créez le fichier 11.reg ODBC suivant :

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 11 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql11.dll"
      
    • Pour ODBC 13.0, créez le fichier 13.reg ODBC suivant :

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 13 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql13.dll"
      

    PowerShell

    Vous pouvez également exécuter les commandes PowerShell suivantes pour automatiser la modification.

    • Pour ODBC 11.0, exécutez les commandes PowerShell suivantes :

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null
      
    • Pour ODBC 13.0, exécutez les commandes PowerShell suivantes :

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null
      

Services de collecte d’audit

Pour Audit Collection Services (ACS), vous devez apporter des modifications supplémentaires dans le Registre sur le serveur collecteur ACS. ACS utilise le DSN pour établir des connexions à la base de données. Vous devez mettre à jour les paramètres DSN pour les rendre fonctionnels pour TLS 1.2.

  1. Connectez-vous au serveur en utilisant un compte disposant des informations d’identification d’administration locales.

  2. Démarrez l’Éditeur du Registre en sélectionnant et en maintenant Démarrer, entrez regedit dans la zone de texte Exécuter , puis sélectionnez OK.

  3. Recherchez la sous-clé ODBC suivante pour OpsMgrAC : HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Remarque

    Le nom par défaut de DSN est OpsMgrAC.

  4. Sous-clé sources de données ODBC, sélectionnez le nom DSN OpsMgrAC. Il contient le nom du pilote ODBC à utiliser pour la connexion de base de données. Si ODBC 17 est installé, remplacez ce nom par ODBC Driver 17 pour SQL Server.

  5. Sous la sous-clé OpsMgrAC , mettez à jour le pilote pour la version ODBC installée.

    • Si ODBC 17 est installé, remplacez l’entrée %WINDIR%\system32\msodbcsql17.dlldu pilote par .

    Fichier du Registre

    Vous pouvez également créer et enregistrer le fichier .reg suivant dans le Bloc-notes ou un autre éditeur de texte. Pour exécuter le fichier .reg enregistré, double-cliquez sur le fichier.

    • Pour ODBC 17, créez le fichier 17.reg ODBC suivant :

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 17 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\system32\msodbcsql17.dll"
      

    PowerShell

    Vous pouvez également exécuter les commandes PowerShell suivantes pour automatiser la modification.

    • Pour ODBC 17, exécutez les commandes PowerShell suivantes :

      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
      New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
      

Étapes suivantes