Como habilitar o TLS 1.2 para o Configuration Manager
Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)
Ao habilitar o TLS 1.2 para seu ambiente do Gerenciador de Configurações, comece garantindo que os clientes sejam capazes e configurados corretamente para usar o TLS 1.2 antes de habilitar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores do site e nos sistemas de sites remotos. Há três tarefas para habilitar o TLS 1.2 em clientes:
- Atualizar o Windows e o WinHTTP
- Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
- Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
Para obter mais informações sobre dependências para recursos e cenários específicos do Gerenciador de Configurações, veja Sobre a habilitação TLS 1.2.
Atualizar o Windows e o WinHTTP
O Windows 8.1, o Windows Server 2012 R2, o Windows 10, o Windows Server 2016 e versões posteriores do Windows dão suporte nativo ao TLS 1.2 para comunicações cliente-servidor via WinHTTP.
Versões anteriores do Windows, como Windows 7 ou Windows Server 2012, não habilitam o TLS 1.1 ou o TLS 1.2 por padrão para comunicações seguras usando WinHTTP. Para estas versões anteriores do Windows, instale Update 3140245 para ativar o valor de registro abaixo, que pode ser definido para adicionar TLS 1.1 e TLS 1.2 à lista padrão de protocolos seguros para WinHTTP. Com o patch instalado, crie os seguintes valores do registro:
Importante
Habilite estas configurações em todos os clientes que executam versões anteriores do Windows antes de habilitar o TLS 1.2 e desativar os protocolos mais antigos nos servidores do Gerenciador de Configurações. Caso contrário, você poderá inadvertidamente órfãos.
Verifique o valor da DefaultSecureProtocols
configuração do registro, por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
Se você alterar esse valor, reinicie o computador.
O exemplo acima mostra o valor de 0xAA0
para a configuração winHTTP DefaultSecureProtocols
.
Atualize para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows lista o valor hexadecimal para cada protocolo. Por padrão, no Windows, esse valor é 0x0A0
para habilitar o SSL 3.0 e o TLS 1.0 para WinHTTP. O exemplo acima mantém esses padrões e também habilita o TLS 1.1 e o TLS 1.2 para WinHTTP. Essa configuração garante que a alteração não interrompa nenhum outro aplicativo que ainda possa depender do SSL 3.0 ou TLS 1.0. Você pode usar o valor de 0xA00
para habilitar apenas o TLS 1.1 e o TLS 1.2. Gerenciador de Configurações dá suporte ao protocolo mais seguro que o Windows negocia entre ambos os dispositivos.
Se você quiser desabilitar completamente o SSL 3.0 e o TLS 1.0, use a configuração de protocolos desabilitados do SChannel no Windows. Para mais informações, veja Restringir o uso de certos algoritmos e protocolos criptográficos em Schannel.dll.
Verifique se o TLS 1.2 está habilitado como um protocolo para SChannel no nível do sistema operacional
Na maioria das vezes, o uso do protocolo é controlado em três níveis, no nível do sistema operacional, no nível da estrutura ou da plataforma e no nível do aplicativo. O TLS 1.2 está habilitado por padrão no nível do sistema operacional. Depois de garantir que os valores do registro do .NET sejam definidos para habilitar o TLS 1.2 e verificar se o ambiente está utilizando corretamente o TLS 1.2 na rede, talvez você queira editar a chave do SChannel\Protocols
registro para desabilitar os protocolos mais antigos e menos seguros. Para obter mais informações sobre como desabilitar o TLS 1.0 e 1.1, consulte Configurando protocolos Schannel no Registro do Windows.
Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
Determinar a versão do .NET
Primeiro, determine as versões instaladas do .NET. Para obter mais informações, consulte Determinar quais versões e níveis de service pack do .NET Framework estão instalados.
Instale atualizações do .NET
Instale as atualizações do .NET para que você possa habilitar criptografia forte. Algumas versões do .NET Framework podem exigir atualizações para habilitar criptografia forte. Use estas diretrizes:
O NET Framework 4.6.2 e posterior dá suporte a TLS 1.1 e TLS 1.2. Confirme as configurações do registro, mas não são necessárias alterações adicionais.
Observação
A partir da versão 2107, Configuration Manager requer Microsoft .NET Framework versão 4.6.2 para servidores de site, sistemas de site específicos, clientes e console. Se possível em seu ambiente, instale a versão mais recente do .NET versão 4.8.
Atualize o NET Framework 4.6 e versões anteriores para dar suporte ao TLS 1.1 e ao TLS 1.2. Para obter mais informações, consulte Versões e dependências do .NET Framework.
Se você estiver usando .NET Framework 4.5.1 ou 4.5.2 no Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012, é altamente recomendável instalar as atualizações de segurança mais recentes do .Net Framework 4.5.1 e 4.5.2 para garantir que o TLS 1.2 possa ser habilitado corretamente.
Para sua referência, o TLS 1.2 foi introduzido pela primeira vez no .Net Framework 4.5.1 e 4.5.2 com as seguintes rollups de hotfix:
- Para Windows 8.1 e Server 2012 R2: 3099842 de rollup do Hotfix
- Para Windows Server 2012: 3099844 de rollup do Hotfix
Configurar para criptografia forte
Configure .NET Framework para dar suporte a criptografia forte. Defina a configuração do SchUseStrongCrypto
registro como DWORD:00000001
. Esse valor desabilita a cifra do fluxo RC4 e requer uma reinicialização. Para obter mais informações sobre essa configuração, consulte 296038 de Consultoria de Segurança Microsoft.
Defina as seguintes chaves de registro em qualquer computador que se comunique em toda a rede com um sistema habilitado para TLS 1.2. Por exemplo, Configuration Manager clientes, funções remotas do sistema de sites não instaladas no servidor do site e no próprio servidor do site.
Para aplicativos de 32 bits que estão em execução em OSs de 32 bits e para aplicativos de 64 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores de subchave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Para aplicativos de 32 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Observação
A SchUseStrongCrypto
configuração permite que o .NET use o TLS 1.1 e o TLS 1.2. A SystemDefaultTlsVersions
configuração permite que o .NET use a configuração do sistema operacional. Para obter mais informações, consulte Práticas recomendadas do TLS com o .NET Framework.