Compartir a través de

Aplicación de TLS 1.2 para Operations Manager

En este artículo se describe cómo permitir que System Center Operations Manager use la seguridad de la capa de transporte (TLS) 1.2.

Nota:

Operations Manager usa el protocolo configurado en el nivel de sistema operativo. Por ejemplo, si todos los protocolos están habilitados, Operations Manager selecciona uno de los tres protocolos en el orden de preferencia siguiente:

  1. TLS versión 1.0
  2. TLS versión 1.1
  3. TLS versión 1.2

El SSP de SChannel seleccionará entonces el protocolo de autenticación preferido que tanto el cliente como el servidor admitan.

Realice los pasos siguientes para implementar la versión 1.2 del protocolo TLS en Operations Manager:

Nota:

Controlador Microsoft OLE DB 18 para SQL Server (recomendado) es compatible con Operations Manager 2016 UR9 y versiones posteriores.

  1. Instale SQL Server 2012 Native Client 11.0 o Microsoft OLE DB Driver (x64) en todos los servidores de administración y el servidor de consola web.

  2. Instale Microsoft ODBC Driver (x64) en todos los servidores de administración y en el servidor de consola web.

  3. Instala la actualización requerida de SQL Server compatible con TLS 1.2.

  4. Instale al menos el Paquete Acumulativo de Actualizaciones 4 para Operations Manager 2016 en todos los componentes.

  5. Asegúrese de que todos los servidores tengan instalado, como mínimo, .NET Framework 4.6 y que sea compatible con la versión del sistema operativo: versiones y dependencias de .NET Framework

    1. No instalar .NET Framework 4.8, ya que hay incompatibilidades conocidas con Operations Manager 2016.

  6. Configura Windows para usar únicamente TLS 1.2.

  7. Configure .NET Framework para usar niveles más altos de criptografía de forma predeterminada.

  8. Configura los servicios de recopilación de auditorías si están instalados.

  1. Instale Microsoft OLE DB Driver for SQL versión 18.7.4 en todos los servidores de administración y en el servidor de consola web.

  2. Instale Microsoft ODBC Driver for SQL versión 17.10.6 en todos los servidores de administración y en el servidor de consola web.

  3. Configura Windows para usar únicamente TLS 1.2.

  4. Configure .NET Framework para usar niveles más altos de criptografía de forma predeterminada.

  5. Configura los servicios de recopilación de auditorías si están instalados.

Nota:

Si usa el cifrado de conexión de SQL Server, instale estas versiones de controlador en su lugar:

Puede encontrar más información sobre cómo configurar el cifrado de conexión SQL aquí: Configuración de sql Server Motor de base de datos para cifrar conexiones

Operations Manager genera certificados autofirmados SHA1 y SHA2, que son necesarios para habilitar TLS 1.2. Si se usan certificados firmados por CA, asegúrate de que los certificados sean SHA1 o SHA2.

Nota:

Si las directivas de seguridad restringen TLS 1.0 y 1.1, se produce un error al instalar un nuevo rol de Operations Manager 2016 porque el medio de instalación no incluye las actualizaciones para admitir TLS 1.2. Para seguir configurando un nuevo rol, habilite TLS 1.0 en el sistema, aplique el paquete acumulativo de actualizaciones 4y, a continuación, vuelva a deshabilitar TLS 1.0 en el sistema.

Configuración del sistema operativo Windows para usar solo el protocolo TLS 1.2

Usa uno de los métodos siguientes para configurar Windows, de manera de usar únicamente el protocolo TLS 1.2.

Método 1: Modificación manual del registro

Importante

Sigue meticulosamente los pasos que se describen en esta sección. Es posible que se produzcan problemas graves si el registro se modifica incorrectamente. Antes de realizar cambios, realice una copia de seguridad de los registros en caso de que se produzcan problemas.

Para obtener más información, consulte: Cómo realizar copias de seguridad y restaurar el registro en Windows

Siga estos pasos para modificar los protocolos SChannel en todo el sistema. Se recomienda habilitar explícitamente el protocolo TLS 1.2.

Nota:

Estos cambios del registro no afectan al uso del protocolo Kerberos ni al del protocolo NTLM.

  1. Inicie sesión en el servidor con una cuenta que tenga credenciales administrativas locales.

  2. Para iniciar el Editor del Registro, selecciona y mantén presionado Inicio, escribe regedit en el cuadro de texto Ejecutar y selecciona Aceptar.

  3. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  4. Cree una subclave en Protocolos para:

    • SSL 2.0
    • SSL 3.0
    • TLS 1.0
    • TLS 1.1
    • TLS 1.2

  5. Cree una subclave para Client y otra para Server en cada subclave de versión de protocolo creada anteriormente. Por ejemplo, la subclave para TLS 1.0 sería

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

  6. Para deshabilitar un protocolo, cree los siguientes valores DWORD en Server y Client:

    • Habilitado [Valor = 0]
    • DisabledByDefault [Value = 1]

  7. Para habilitar explícitamente el protocolo TLS 1.2 (el valor predeterminado está habilitado), cree las siguientes claves del Registro:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

  8. A continuación, cree los siguientes valores DWORD en Servidor y cliente:

    • Habilitado [Valor = 1]
    • DisabledByDefault [Desactivado por defecto] [Value = 0]

  9. Cierre el Editor del registro.

Método 2: Modificación del registro con PowerShell

Ejecute el siguiente script de Windows PowerShell como administrador para configurar el sistema operativo Windows para usar el protocolo TLS 1.2:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
    foreach ($key in $ProtocolSubKeyList)
    {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Output "Current Registry Path: `"$currentRegPath`""

  if (!(Test-Path $currentRegPath))
  {
    Write-Output " `'$key`' not found: Creating new Registry Key"
    New-Item -Path $currentRegPath -Force | out-Null
  }
  if ($Protocol -eq "TLS 1.2")
  {
    Write-Output " Explicitly enable TLS 1.2 (default is enabled)"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
  }
  else
  {
    Write-Output " Disabling - $Protocol"
    New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
  }
  Write-Output " "
 }
}

Configuración de .NET Framework para usar niveles superiores de criptografía

.NET Framework normalmente requiere que la aplicación defina el protocolo TLS que se va a usar para la comunicación. Sin embargo, en la instancia de Operations Manager, es necesario indicar a .NET Framework qué protocolo usar.

Después de completar la configuración de todos los requisitos previos para Operations Manager, realice los pasos siguientes en todos los servidores de Operations Manager y en todos los agentes de Windows.

Importante

Sigue meticulosamente los pasos que se describen en esta sección. Es posible que se produzcan problemas graves si el registro se modifica incorrectamente. Antes de realizar cambios, realice una copia de seguridad de los registros en caso de que se produzcan problemas.

Para obtener más información, consulte: Cómo realizar copias de seguridad y restaurar el registro en Windows

Requisitos previos para Windows Server 2012/2012 R2

Se requieren cambios adicionales en Windows Server 2012/2012 R2 para usar TLS 1.2 a través de HTTP para la supervisión de UNIX/LINUX. Para permitir o habilitar TLS 1.2 como protocolos de seguridad predeterminados en WinHTTP en Windows, es necesario realizar los siguientes cambios según Actualización para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows.

  1. Instala KB3140245 en los servidores de administración o los servidores de puertas de enlace en el grupo de recursos de UNIX/LINUX.
  2. Realiza una copia de seguridad de los registros modificados como se mencionó en el artículo de KB.
  3. Descarga y ejecuta la herramienta Easy Fix en los servidores de administración o puertas de enlace en el grupo de recursos UNIX/LINUX.
  4. Reinicia los servidores.

Método 1: Modificación manual del registro

  1. Abra el Editor del registro
  2. Busque la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727
    1. Cree los siguientes pares de valores DWORD:
      • SchUseStrongCrypto [Value = 1]
      • SystemDefaultTlsVersions [Value = 1]
  3. Busque la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727
    1. Cree los siguientes pares de valores DWORD:
      • SchUseStrongCrypto [Value = 1]
      • SystemDefaultTlsVersions [Value = 1]
  4. Busque la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    1. Cree los siguientes pares de valores DWORD:
      • SchUseStrongCrypto [Value = 1]
      • SystemDefaultTlsVersions [Value = 1]
  5. Busque la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    1. Cree los siguientes pares de valores DWORD:
      • SchUseStrongCrypto [Value = 1]
      • SystemDefaultTlsVersions [Value = 1]
  6. Reinicie el sistema para que la configuración surta efecto.

Método 2: Modificación del registro con PowerShell

Ejecute el siguiente script de Windows PowerShell en modo de administrador para configurar automáticamente .NET Framework para evitar dependencias de TLS 1.0 heredadas por el marco:

# Allow .NET Framework to use higher levels of Cryptography
$NetRegistryPath1 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath1 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath1 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath2 = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath2 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath2 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath3 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" 
New-ItemProperty -Path $NetRegistryPath3 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null 
New-ItemProperty -Path $NetRegistryPath3 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath4 = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" 
New-ItemProperty -Path $NetRegistryPath4 -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $NetRegistryPath4 -Name "SystemDefaultTlsVersions" -Value "1" -PropertyType DWORD -Force | Out-Null

Configuración adicional

Después de aplicar el paquete acumulativo de actualizaciones 4, asegúrese de importar los módulos de administración que se incluyen en este paquete acumulativo ubicado en el siguiente directorio: %ProgramFiles%\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.

Si supervisa una versión compatible del servidor Linux con Operations Manager, siga las instrucciones del sitio web adecuado para que la distribución configure TLS 1.2.

Servicios de Recolección de Auditorías

Para Audit Collection Services (ACS), se deben realizar cambios adicionales en el registro en el servidor del recopilador de ACS. ACS usa el nombre del origen de datos ODBC (DSN) para realizar conexiones a la base de datos. Asegúrese de que la configuración de DSN se actualiza para que sean funcionales para TLS 1.2.

  1. Inicie sesión en el servidor con una cuenta que tenga credenciales administrativas locales.
  2. Para iniciar el Editor del Registro, selecciona y mantén presionado Inicio, escribe regedit en el cuadro de texto Ejecutar y selecciona Aceptar.
  3. Busca la siguiente subclave ODBC para OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.
    1. Tenga en cuenta que el nombre de DSN predeterminado es OpsMgrAC.
  4. En subclave Orígenes de datos ODBC, selecciona el nombre de DNS OpsMgrAC. Contiene el nombre del controlador ODBC que se usa para la conexión de base de datos. Si se instala ODBC 11.0, cambie este nombre a controlador ODBC 11 para SQL Server, o si está instalado ODBC 13.0, cambie este nombre a controlador ODBC 13 para SQL Server.
  5. En la subclave OpsMgrAC, actualiza el controlador para la versión de ODBC que esté instalada.
    • Si ODBC 11.0 está instalado, cambia la entrada Driver a %WINDIR%\system32\msodbcsql11.dll.
    • Si ODBC 13.0 está instalado, cambie la entrada Driver a %WINDIR%\system32\msodbcsql13.dll.
    • Si se instala ODBC 17.0, cambie la entrada Driver a %WINDIR%\system32\msodbcsql17.dll.
    • Si se instala ODBC 18.0, cambie la entrada Driver a %WINDIR%\system32\msodbcsql18.dll.

Archivo del Registro

Como alternativa, crea y guarda el siguiente archivo .reg en el Bloc de notas u otro editor de texto. Para ejecutar el archivo .reg guardado, haz doble clic en el archivo.

  • Para ODBC 11.0, 13.0, 17.x o 18.x. Cree el siguiente archivo ODBC.reg y (reemplace por la versión ODBC que se está usando):

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 18 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql18.dll"

PowerShell

También puede ejecutar los siguientes comandos de PowerShell para automatizar el cambio.

  • Para ODBC 11.0, puedes ejecutar los siguientes comandos de PowerShell:

    New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql11.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 11 for SQL Server" -PropertyType STRING -Force | Out-Null

  • Para ODBC 13.0, puedes ejecutar los siguientes comandos de PowerShell:

    New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql13.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 13 for SQL Server" -PropertyType STRING -Force | Out-Null

Servicios de Recolección de Auditorías

Para Audit Collection Services (ACS), se deben realizar cambios adicionales en el registro en el servidor del recopilador de ACS. ACS usa el nombre del origen de datos ODBC (DSN) para realizar conexiones a la base de datos. Asegúrese de que la configuración de DSN se actualiza para que sean funcionales para TLS 1.2.

  1. Inicie sesión en el servidor con una cuenta que tenga credenciales administrativas locales.

  2. Para iniciar el Editor del Registro, selecciona y mantén presionado Inicio, escribe regedit en el cuadro de texto Ejecutar y selecciona Aceptar.

  3. Busca la siguiente subclave ODBC para OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Nota:

    El nombre predeterminado de DSN es OpsMgrAC.

  4. En subclave Orígenes de datos ODBC, selecciona el nombre de DNS OpsMgrAC. Contiene el nombre del controlador ODBC que se usa para la conexión de base de datos. Si ODBC 17 está instalado, cambie este nombre a controlador ODBC 17 para SQL Server.

  5. En la subclave OpsMgrAC, actualiza el controlador para la versión de ODBC que esté instalada.

    • Por ejemplo, si ODBC 17 está instalado, cambie la entrada Driver a %WINDIR%\system32\msodbcsql17.dll.
    • Compruebe el nombre del archivo DLL para la versión actual del controlador ODBC instalado si es diferente.

Archivo del Registro

Como alternativa, crea y guarda el siguiente archivo .reg en el Bloc de notas u otro editor de texto. Para ejecutar el archivo .reg guardado, haz doble clic en el archivo.

  • Para ODBC 17, crea el siguiente archivo ODBC 17.reg:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
"OpsMgrAC"="ODBC Driver 17 for SQL Server"

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
"Driver"="%WINDIR%\system32\msodbcsql17.dll"

PowerShell

También puede ejecutar los siguientes comandos de PowerShell para automatizar el cambio.

  • Asegúrese de reemplazar la ruta de acceso del archivo DLL a una versión adecuada si usa una versión del controlador ODBC distinta de 17.

    New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql7.dll" -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null

Pasos siguientes

  • Last updated on