Tls security version: Enable Transport Layer Security (TLS) 1.2 overview — Configuration Manager

alexxlab

Обзор включения безопасности транспортного уровня (TLS) 1.2 — Configuration Manager

Редактировать

Твиттер LinkedIn Фейсбук Электронная почта

  • Статья
  • 5 минут на чтение

Применяется к: Configuration Manager (Current Branch)

Безопасность транспортного уровня (TLS), как и протокол защищенных сокетов (SSL), представляет собой протокол шифрования, предназначенный для обеспечения безопасности данных при передаче по сети. В этих статьях описываются действия, необходимые для обеспечения того, чтобы для безопасной связи Configuration Manager использовался протокол TLS 1.2. В этих статьях также описываются требования к обновлению для часто используемых компонентов и способы устранения распространенных проблем.

Включение TLS 1.2

Configuration Manager использует множество различных компонентов для безопасной связи. Протокол, используемый для данного соединения, зависит от возможностей соответствующих компонентов как на стороне клиента, так и на стороне сервера. Если какой-либо компонент устарел или настроен неправильно, для связи может использоваться более старый и менее безопасный протокол. Чтобы правильно включить в Configuration Manager поддержку TLS 1.2 для всех защищенных соединений, необходимо включить TLS 1.2 для всех необходимых компонентов. Необходимые компоненты зависят от вашей среды и используемых функций Configuration Manager.

Важно

Запустите этот процесс с клиентами, особенно с предыдущими версиями Windows. Перед включением TLS 1.2 и отключением старых протоколов на серверах Configuration Manager убедитесь, что все клиенты поддерживают TLS 1.2. В противном случае клиенты не смогут обмениваться данными с серверами и могут быть потеряны.

Задачи для клиентов, серверов сайта и удаленных систем сайта Configuration Manager

Чтобы включить TLS 1. 2 для компонентов, от которых зависит безопасность связи Configuration Manager, вам потребуется выполнить несколько задач как на клиентах, так и на серверах сайта.

Включить TLS 1.2 для клиентов Configuration Manager

  • Обновить Windows и WinHTTP в Windows 8.0, Windows Server 2012 (не R2) и более ранних версиях
  • Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне ОС
  • Обновите и настройте .NET Framework для поддержки TLS 1.2

Включить TLS 1.2 для серверов сайта Configuration Manager и удаленных систем сайта

  • Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне ОС
  • Обновите и настройте .NET Framework для поддержки TLS 1.2
  • Обновление SQL Server и собственного клиента SQL Server
  • Обновление служб Windows Server Update Services (WSUS)

Функции и зависимости сценариев

В этом разделе описаны зависимости для конкретных функций и сценариев Configuration Manager. Чтобы определить следующие шаги, найдите элементы, применимые к вашей среде.

.
Функция или сценарий		 Обновление задач
Серверы сайта (центральный, первичный или вторичный) — обновить .NET Framework
— проверить параметры надежного шифрования
Сервер базы данных сайта Обновление SQL Server и его клиентских компонентов
Дополнительные серверы сайта Обновите SQL Server и его клиентские компоненты до совместимой версии SQL Server Express
Роли системы сайта — Обновите .NET Framework и проверьте параметры надежного шифрования
— Обновите SQL Server и его клиентские компоненты для ролей, которые требуют этого, включая собственный клиент SQL Server
Пункт службы отчетности — Обновите .NET Framework на сервере сайта, серверах служб отчетов SQL Server и любом компьютере с консолью
— При необходимости перезапустите службу SMS_Executive
Точка обновления ПО Обновление WSUS
Шлюз облачного управления Принудительное использование TLS 1. 2
Консоль диспетчера конфигураций — обновить .NET Framework
— проверить параметры надежного шифрования
Клиент Configuration Manager с ролями системы сайта HTTPS Обновление Windows для поддержки TLS 1.2 для связи клиент-сервер с помощью WinHTTP
Программный центр — обновить .NET Framework
— проверить параметры стойкого шифрования
Клиенты Windows 7 До версии , когда вы включаете TLS 1.2 на любых серверных компонентах, обновите Windows для поддержки TLS 1.2 для связи клиент-сервер с помощью WinHTTP. Если вы сначала включите TLS 1.2 на серверных компонентах, вы можете потерять более ранние версии клиентов.

Часто задаваемые вопросы

Зачем использовать TLS 1.2 с Configuration Manager?

TLS 1.2 более безопасен, чем предыдущие криптографические протоколы, такие как SSL 2.0, SSL 3.0, TLS 1. 0 и TLS 1.1. По сути, TLS 1.2 обеспечивает более безопасную передачу данных по сети.

Где Configuration Manager использует протоколы шифрования, такие как TLS 1.2?

Существует пять основных областей, в которых Configuration Manager использует протоколы шифрования, такие как TLS 1.2:

  • Связь клиента с ролями сервера сайта на основе IIS, когда роль настроена на использование HTTPS. Примеры этих ролей включают точки распространения, точки обновления программного обеспечения и точки управления.
  • Связь точки управления, SMS Executive и поставщика SMS с SQL. Configuration Manager всегда шифрует обмен данными с SQL Server.
  • Связь между сервером сайта и WSUS, если WSUS настроен на использование HTTPS.
  • Консоль Configuration Manager для служб отчетов SQL Server (SSRS), если службы SSRS настроены на использование HTTPS.
  • Любые подключения к интернет-сервисам. Примеры включают шлюз управления облаком (CMG), синхронизацию точки подключения службы и синхронизацию метаданных обновления из Центра обновления Майкрософт.

Что определяет используемый протокол шифрования?

HTTPS всегда будет согласовывать наивысшую версию протокола, поддерживаемую как клиентом, так и сервером в зашифрованном диалоге. При установлении соединения клиент отправляет сообщение серверу с самым высоким доступным протоколом. Если сервер поддерживает ту же версию, он отправляет сообщение, используя эту версию. Эта согласованная версия используется для соединения. Если сервер не поддерживает версию, представленную клиентом, в сообщении сервера будет указана самая старшая версия, которую он может использовать. Дополнительные сведения о протоколе рукопожатия TLS см. в разделе Установление безопасного сеанса с помощью TLS.

Что определяет, какую версию протокола могут использовать клиент и сервер?

Как правило, следующие элементы могут определить, какая версия протокола используется:

  • Приложение может указать, какие конкретные версии протокола следует согласовать.
    • В соответствии с передовой практикой следует избегать жесткого кодирования конкретных версий протокола на уровне приложения и следовать конфигурации, определенной на уровне компонентов и протоколов ОС.
    • Configuration Manager следует этой передовой практике.
  • Для приложений, написанных с использованием .NET Framework, версии протокола по умолчанию зависят от версии платформы, в которой они были скомпилированы.
    • Версии .NET до 4.6.3 по умолчанию не включали TLS 1.1 и 1.2 в список протоколов для согласования.
  • Приложения, использующие WinHTTP для обмена данными по протоколу HTTPS, такие как клиент Configuration Manager, зависят от версии ОС, уровня исправления и конфигурации поддержки версии протокола.

Дополнительные ресурсы

  • Технический справочник по криптографическим средствам
  • Передовые практики безопасности транспортного уровня (TLS) с .NET Framework
  • КБ 3135244: поддержка TLS 1.2 для Microsoft SQL Server

Следующие шаги

  • Включить TLS 1.2 на клиентах
  • Включить TLS 1.2 на серверах сайта

Обратная связь

Просмотреть все отзывы о странице

Отказ от TLS 1.

2 и переход на TLS 1.3

Керен Поллак, 11 марта 2019 г. TLS 1.3 призван решить все проблемы, с которыми сталкивается его старая версия — TLS 1.2. Хотя до недавнего времени TLS 1.2 был хорошим выбором для протокола TLS, теперь TLS 1.3 предлагает лучшее решение с обновленным подходом, особенно в вопросах, связанных с безопасностью. Поскольку настройка ваших систем на использование только TLS 1.2 и более поздних версий может быть болезненной и привести к производственному ущербу, то же самое происходит и с обновлением для TLS 1.3. Это основная причина, по которой хорошо спроектированный протокол, такой как TLS 1.3, еще не нашел широкого применения. Однако обновление вашего протокола TLS не должно быть болезненным, если вы используете автоматизированные инструменты, которые могут предотвратить сбои и сэкономить ваше время и усилия.

 

В этой статье вы узнаете:

  1. Что такое протокол TLS
  2. Что такое TLS 1.2 и его возможные векторы атак
  3. О протоколе TLS 1. 3
  4. TLS 1.2 по сравнению с TLS 1.3


Что такое TLS?

Transport Layer Security (TLS) — это криптографический протокол, предназначенный для обеспечения безопасной связи между веб-браузерами и серверами. В настоящее время он используется почти во всех приложениях. Многие протоколы на основе IP, такие как HTTPS, SMTP, POP3 и FTP, поддерживают TLS. С другой стороны, Secure Sockets Layer (SSL) — это протокол, используемый для установления зашифрованной связи между веб-браузерами и серверами. Он использует симметричную криптографию для шифрования передаваемых данных. Ключи шифрования основаны на согласовании общего секрета в начале любого сеанса связи. Это секретное согласование называется рукопожатием TLS.

 

В настоящее время наиболее широко используемыми версиями TLS являются TLS 1.0, TLS 1.1 и TLS 1.2. Хотя известно, что протоколы TLS 1.0 и TLS 1.1 очень уязвимы, протокол TLS 1.2 считается гораздо более безопасным и поэтому рекомендуется для использования.

Кроме того, в октябре 2018 года Apple, Google, Microsoft и Mozilla (отвечающие за браузеры Chrome, Edge, IE, Firefox и Safari) объявили, что к первой половине 2020 года протоколы TLS 1.0 и 1.1 будут отключены ими. Хотя это хороший ход с их стороны, возникает вопрос: что, если TLS 1.2 уже не так безопасен, как мы думали?

 


TLS 1.2:

TLS версии 1.2 был выпущен в 2008 году. В настоящее время это наиболее широко применяемая версия TLS. TLS 1.2 предлагает значительные улучшения по сравнению со старой версией TLS 1.1. Однако наиболее существенным улучшением является протокол шифрования. TLS 1.2 позволяет использовать более безопасные алгоритмы хеширования, такие как SHA-256. Кроме того, он позволяет использовать расширенные наборы шифров, поддерживающие криптографию на основе эллиптических кривых. До недавнего времени TLS 1.2 считался достаточно безопасным, но обнаружение новых уязвимостей, подобных уязвимостям старых протоколов TLS, поставило надежность TLS 1. 2 под сомнение.

 

Уязвимость Zombie POODLE в TLS 1.2:

Нам известно об атаках Zombie POODLE пятилетней давности, в которых использовались уязвимости SSL 3.0. И судя по всему, они на самом деле не умерли.

 

Исследователи обнаружили две новые уязвимости в протоколе TLS 1.2, которые позволяют атакам, аналогичным POODLE, взломать его. Источником одной уязвимости является поддержка TLS 1.2 устаревшего криптографического метода, цепочки блоков шифрования (CBC). Использование метода CBC позволяет проводить атаки «человек посередине» (MITM) на зашифрованные веб-сеансы и VPN-сеансы пользователей. С небольшой доработкой знакомой атаки POODLE можно взломать системы, которые все еще используют устаревшие методы шифрования.

 

В TLS 1.2 также была обнаружена еще одна уязвимость, которая позволяет атаке GOLDENDOODLE взломать устаревшие методы шифрования. GOLDENDOODLE похож на атаку POODLE, но более мощная. Он обладает более мощными и быстрыми способностями к взлому, и даже если система полностью устранила недостаток POODLE, она все еще может быть уязвима для атак GOLDENDOODLE.

 

Хотя эта проблема должна была быть решена четыре или пять лет назад, поддержка старых протоколов, которая была включена в основном для того, чтобы старые браузеры и клиентские машины не были заблокированы для доступа к веб-сайтам, означает, что проблема по-прежнему остается. Между тем, эти веб-сайты, управляемые в основном государственными органами и финансовыми учреждениями, остаются уязвимыми.


TLS 1.3 делает значительный шаг вперед в плане безопасности по сравнению с TLS 1.2. Он удаляет все примитивные функции, которые приводят к слабым конфигурациям.


Возможный вектор атаки TLS 1.2:

Новая уязвимость TLS 1.2, как и старая POODLE, позволяет злоумышленнику получить доступ к зашифрованным блокам данных, а затем получить доступ к информации в виде обычного текста, используя побочные каналы. Процедура такова: если жертва посещает, например, незашифрованный веб-сайт, в браузер жертвы внедряется вредоносный JavaScript. После заражения браузера выполняется атака MITM, и злоумышленник может получить файлы cookie и учетные данные жертвы из защищенного веб-сеанса.


TLS 1.3:

 

Помимо проблем безопасности TLS 1.2, в TLS 1.2 также были отмечены проблемы с производительностью и конфиденциальностью. Поэтому в 2018 году была запущена новая версия TLS — протокол TLS 1.3. TLS 1.3 призван решить все проблемы, с которыми сталкивается TLS 1.2. Что касается безопасности, TLS 1.3 полностью отказывается от обратной совместимости и имеет совершенно новый функциональный дизайн безопасности. Безопасность TLS 1.3 была разработана с нуля, что позволяет ему выполнять те же функции, что и TLS 1.2, но со значительно улучшенной устойчивостью к атакам.


TLS 1.3 и TLS 1.2:

В августе 2018 г. была выпущена версия 1. 3 протокола TLS. В новой версии внесено множество улучшений в области конфиденциальности, безопасности и производительности. Благодаря TLS 1.3 зашифрованные соединения стали намного быстрее и безопаснее, чем раньше. Хотя в TLS 1.2 были обнаружены важные уязвимости, TLS 1.3 решает эти проблемы и поддерживает только современные алгоритмы без известных уязвимостей.

TLS 1.3 также обеспечивает дополнительную конфиденциальность, шифруя большую часть рукопожатия, чтобы защитить его от перехватчиков.

Функции, удаленные из TLS 1.3:

  • Статическое рукопожатие RSA
  • Режимы CBC MtE
  • RC4
  • ША1, МД5
  • Сжатие
  • Регенерация

С точки зрения безопасности TLS 1.3 полностью отказывается от обратной совместимости и имеет совершенно новый функциональный дизайн безопасности.

Итог: TLS 1.3 делает значительный шаг вперед в повышении безопасности. Он удаляет все примитивные функции, которые приводят к слабым конфигурациям.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *