Включение поддержки протоколов TLS и SSL в SharePoint 2013

 

**Применимо к:**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013

**Последнее изменение раздела:**2017-07-18

Сводка. В этой статье описано, как включить протокол TLS версий 1.1 и 1.2 в среде SharePoint 2013.

В SharePoint Server 2016 поддержка протокола TLS версий 1.1 и 1.2 не включена по умолчанию. Чтобы включить поддержку, необходимо установить обновления и изменить параметры конфигурации один раз в каждом из следующих расположений:

  1. Серверы SharePoint в ферме SharePoint.

  2. Серверы Microsoft SQL Server в ферме SharePoint.

  3. Клиентские компьютеры, используемые для доступа к сайтам SharePoint.

Важно!

Если не обновить каждое из этих расположений, возможен сбой при подключении систем друг к другу с помощью протоколов TLS 1.1 или TLS 1.2. В этом случае системы возвратятся к старым протоколам обеспечения безопасности, и если последние отключены, могут вообще не подключиться друг к другу.
Пример. Возможен сбой при подключении серверов SharePoint к базам данных SQL Server или подключении клиентских компьютеров к сайтам SharePoint.

Сводка по обновлению

На указанном ниже изображении показаны три этапа, необходимые для включения поддержки протоколов TLS 1.1 и TLS 1.2 для серверов SharePoint, серверов SQL Server и клиентских компьютеров.

Этап 1. Обновление серверов SharePoint в ферме SharePoint

Выполните указанные ниже действия, чтобы обновить сервер SharePoint.

Действия для SharePoint Server Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

Включение протоколов TLS 1.1 и TLS 1.2 в Windows Schannel

Обязательно

Н/д

Н/д

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в WinHTTP

Обязательно

Обязательный

Н/д

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Internet Explorer

Обязательно

Обязательный

Н/д

Установка обновления SQL Server 2008 R2 Native Client для поддержки протокола TLS 1.2

Обязательно

Обязательный

Обязательно

Установка .NET Framework 4.6 или более поздней версии

Обязательно

Обязательный

Обязательно

Включение криптостойкого алгоритма шифрования для .NET Framework 4.6 или более поздней версии

Обязательно

Обязательный

Обязательно

Рекомендуем выполнить указанные ниже действия. Хотя они не требуются непосредственно для SharePoint Server 2016, но могут потребоваться для другого программного обеспечения, которое интегрируется с SharePoint Server 2016.

Установка обновления .NET Framework 3.5 для поддержки протоколов TLS 1.1 и TLS 1.2

Рекомендовано

Рекомендовано

Рекомендовано

Включение криптостойкого алгоритма шифрования для .NET Framework 3.5

Рекомендовано

Рекомендовано

Рекомендовано

Указанное ниже действие необязательно. Вы можете выполнить его, соблюдая требования соответствия вашей организации, в том числе к обеспечению безопасности.

Отключение более ранних версий протоколов SSL и TLS в Windows Schannel

Необязательно

Необязательный

Необязательно

1.1. Включение протоколов TLS 1.1 и TLS 1.2 в Windows Schannel

Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.

Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

To enable TLS 1.1 support in Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls11-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Сохраните файл tls11-enable.reg.

  4. Дважды щелкните файл tls11-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

To enable TLS 1.2 support in Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Сохраните файл tls12-enable.reg.

  4. Дважды щелкните файл tls12-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

1.2. Включение поддержки протоколов TLS 1.1 и TLS 1.2 в WinHTTP

WinHTTP не наследует значения по умолчанию для версий протоколов шифрования SSL и TLS из значения реестра DisabledByDefault в Windows Schannel. WinHTTP использует собственные значения по умолчанию для версий протоколов шифрования SSL и TLS, которые зависят от операционной системы. Чтобы переопределить значения по умолчанию, необходимо установить обновление, указанное в базе знаний, и настроить разделы реестра Windows.

Значение реестра DefaultSecureProtocols в WinHTTP — битовое поле, которое принимает несколько значений, суммируя их в одно значение. Можно воспользоваться программой "Калькулятор Windows" (Calc.exe) в режиме "Программист", чтобы добавить указанные ниже шестнадцатеричные значения по своему усмотрению.

Значение DefaultSecureProtocols Описание

0x00000008

Включить протокол SSL 2.0 по умолчанию

0x00000020

Включить протокол SSL 3.0 по умолчанию

0x00000080

Включить протокол TLS 1.0 по умолчанию

0x00000200

Включить протокол TLS 1.1 по умолчанию

0x00000800

Включить протокол TLS 1.2 по умолчанию

Например, можно включить протоколы TLS 1.0, TLS 1.1 и TLS 1.2 по умолчанию, сложив значения 0x00000080, 0x00000200 и 0x00000800, которые в сумме дают значение 0x00000A80.

Чтобы установить для WinHTTP обновление, указанное в базе знаний, следуйте инструкциям в статье Обновление для включения протоколов TLS 1.1 и TLS 1.2 в качестве протоколов обеспечения безопасности по умолчанию в WinHTTP Windows.

To enable TLS 1.0, TLS 1.1, and TLS 1.2 by default in WinHTTP

  1. Используя Notepad.exe, создайте текстовый файл с именем winhttp-tls10-tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Сохраните файл winhttp-tls10-tls12-enable.reg.

  4. Дважды щелкните файл winhttp-tls10-tls12-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

1.3. Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Internet Explorer

Версии Internet Explorer, предшествующие версии Internet Explorer 11, не предусматривали поддержку протоколов TLS 1.1 или TLS 1.2 по умолчанию. Поддержка этих протоколов включена по умолчанию в Internet Explorer 11 и более поздних версий.

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Internet Explorer

  1. В Internet Explorer последовательно выберите элементы "Сервис" > "Свойства браузера" > "Дополнительно" или щелкните значок и выберите "Свойства браузера > "Дополнительно".

  2. В разделе "Безопасность" установите указанные ниже флажки:

    • "Использовать TLS 1.1";

    • "Использовать TLS 1.2".

  3. Если вы хотите отключить поддержку более ранних версий протокола обеспечения безопасности, вы можете снять следующие флажки:

    • "SSL 2.0";

    • "SSL 3.0";

    • "TLS 1.0".

      Примечание

      Отключение протокола TLS 1.0 может вызвать проблемы совместимости с сайтами, которые не поддерживают более поздние версии протокола обеспечения безопасности. Клиентам следует испытать это изменение перед выполнением его в рабочей среде.

  4. Нажмите кнопку "ОК".

1.4. Установка обновления SQL Server 2008 R2 Native Client для поддержки протокола TLS 1.2

SQL Server 2008 R2 Native Client не поддерживает протоколы TLS 1.1 и TLS 1.2 по умолчанию. Установите обновление для SQL Server 2008 R2 Native Client, чтобы включить поддержку протокола TLS 1.2.

Чтобы установить обновление для SQL Server 2008 R2 Native Client, см. статью базы знаний Исправление для SQL Server 2008 R2.

1.5. Установка .NET Framework 4.6 или более поздней версии

Для поддержки протокола TLS 1.2 в SharePoint 2013 требуется .NET Framework 4.6, .NET Framework 4.6.1 или .NET Framework 4.6.2. Корпорация Майкрософт рекомендует установить последнюю версию .NET Framework, которая включает новейшие улучшения функциональности и надежности.

Чтобы установить .NET Framework 4.6.2, см. статью базы знаний Microsoft .NET Framework 4.6.2 (веб-установщик) для Windows.

Чтобы установить .NET Framework 4.6.1, см. статью базы знаний Microsoft .NET Framework 4.6.1 (веб-установщик) для Windows.

Чтобы установить .NET Framework 4.6, см. статью базы знаний Microsoft .NET Framework 4.6 (веб-установщик) для Windows

1.6. Включение криптостойкого алгоритма шифрования для .NET Framework 4.6 или более поздней версии

.NET Framework 4.6 и более поздних версий не наследует значения по умолчанию для версий протоколов шифрования SSL и TLS из значения реестра DisabledByDefault в Windows Schannel. Эта платформа использует собственные значения по умолчанию для версий протоколов шифрования SSL и TLS. Чтобы переопределить значения по умолчанию, необходимо настроить разделы реестра Windows.

Значение реестра SchUseStrongCrypto изменяет значение по умолчанию для версий протокола шифрования в .NET Framework 4.6 и более поздних версий с SSL 3.0 или TLS 1.0 на TLS 1.0, TLS 1.1 или TLS 1.2. Кроме того, оно ограничивает использование алгоритмов шифрования для протокола TLS, которые считаются уязвимыми, например RC4.

Поведение приложений, скомпилированных для .NET Framework 4.6 и более поздних версий, будет таким, будто значение раздела реестра SchUseStrongCrypto — 1, даже если это не так. Чтобы обеспечить использование во всех приложениях .NET Framework криптостойкого алгоритма, настройте это значение реестра Windows.

Включение надежного шифрования в .NET Framework 4.6 и более поздних версий

  1. Используя Notepad.exe, создайте текстовый файл с именем net46-strong-crypto-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Сохраните файл net46-strong-crypto-enable.reg.

  4. Дважды щелкните файл net46-strong-crypto-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

1.7. Установка обновления .NET Framework 3.5 для поддержки протоколов TLS 1.1 и TLS 1.2

В .NET Framework 3.5 по умолчанию не поддерживаются протоколы TLS 1.1 или TLS 1.2. Чтобы добавить поддержку протоколов TLS 1.1 и TLS 1.2, установите обновление, указанное в базе знаний, и вручную настройте разделы реестра Windows.

При создании SharePoint 2013 использовалась платформа .NET Framework 4.x, SharePoint 2013 не использует .NET Framework 3.5. Но некоторые необходимые компоненты и сторонние программы, интегрированные с SharePoint 2013, могут использовать .NET Framework 3.5. Корпорация Майкрософт рекомендует установить и настроить это обновление для улучшения совместимости с протоколом TLS 1.2.

Значение реестра SystemDefaultTlsVersions определяет, какие значения по умолчанию для версий протоколов обеспечения безопасности будут использоваться в .NET Framework 3.5. Если задано значение 0, в .NET Framework 3.5 по умолчанию будет использоваться протокол SSL 3.0 или TLS 1.0. Если задано значение 1, в .NET Framework 3.5 наследуются значения по умолчанию из значений реестра DisabledByDefault в Windows Schannel. Если это значение не определено, применяются действия, соответствующие значению 0.

For Windows Server 2008 R2

  1. Чтобы установить обновление .NET Framework 3.5.1 для Windows Server 2008 R2, см. статью базы знаний Поддержка системных значений по умолчанию, касающихся протокола TLS, в .NET Framework 3.5.1 для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

For Windows Server 2012

  1. Чтобы установить обновление .NET Framework 3.5 для Windows Server 2012, см. статью базы знаний Поддержка системных значений по умолчанию, касающихся протокола TLS, в .NET Framework 3.5 для Windows Server 2012.

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

For Windows Server 2012 R2

  1. Чтобы установить обновление .NET Framework 3.5 с пакетом обновления 1 (SP1) для Windows Server 2012 R2, см. статью базы знаний Поддержка системных значений по умолчанию, касающихся протокола TLS, в .NET Framework 3.5 для Windows 8.1 и Windows Server 2012 R2.

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

To manually configure the registry keys, do the following:

  1. Используя Notepad.exe, создайте текстовый файл с именем net35-tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Сохраните файл net35-tls12-enable.reg.

  4. Дважды щелкните файл net35-tls12-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

1.8. Включение криптостойкого алгоритма шифрования для .NET Framework 3.5

Значение реестра SchUseStrongCrypto ограничивает использование алгоритмов шифрования для протокола TLS, которые считаются уязвимыми, например RC4.

Корпорация Майкрософт выпустила необязательное обновление для системы безопасности для .NET Framework 3.5, которое автоматически настраивает разделы реестра Windows.

Windows Server 2008 R2

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 3.5.1 в Windows Server 2008 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework 3.5.1 в Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) за 13 мая 2014 г.

Windows Server 2012

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 3.5 в Windows Server 2012, см. статью базы знаний Описание обновления для системы безопасности .NET Framework 3.5 в Windows 8 и Windows Server 2012 за 13 мая 2014 г.

Windows Server 2012 R2

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 3.5 в Windows Server 2012 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework 3.5 в Windows 8.1 и Windows Server 2012 R2 за 13 мая 2014 г.

1.9. Отключение более ранних версий протоколов SSL и TLS в Windows Schannel

Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.

Важно!

Корпорация Майкрософт рекомендует отключить протоколы SSL 2.0 и SSL 3.0 из-за серьезных уязвимостей в этих версиях протокола.
Клиенты также могут отключить протоколы TLS 1.0 и TLS 1.1, чтобы использовалась только последняя версия протокола. Но это может вызвать проблемы совместимости с программным обеспечением, которое не поддерживает самую новую версию протокола TLS. Клиентам следует испытать такое изменение перед выполнением его в рабочей среде.

Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Отключение поддержки протокола SSL 2.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем ssl20-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл ssl20-disable.reg.

  4. Дважды щелкните файл ssl20-disable.reg.

  5. Выберите Yes, чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола SSL 3.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем ssl30-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл ssl30-disable.reg.

  4. Дважды щелкните файл ssl30-disable.reg.

  5. Выберите Yes, чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола TLS 1.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls10-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл tls10-disable.reg.

  4. Дважды щелкните файл tls10-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола TLS 1.1 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls11-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл tls11-disable.reg.

  4. Дважды щелкните файл tls11-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Этап 2. Обновление серверов Microsoft SQL Server в ферме SharePoint

Выполните указанные ниже действия, чтобы обновить серверы SQL Server в ферме SharePoint.

Действия для серверов SQL Server Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

Включение протоколов TLS 1.1 и TLS 1.2 в Windows Schannel

Обязательно

Н/д

Н/д

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Microsoft SQL Server

Обязательно

Обязательный

Обязательно

Указанное ниже действие необязательно. Выполните это действие, соблюдая требования соответствия вашей организации, в том числе к обеспечению безопасности.

Отключение более ранних версий протоколов SSL и TLS в Windows Schannel

Необязательно

Необязательный

Необязательно

2.1. Включение протоколов TLS 1.1 и TLS 1.2 в Windows Schannel

Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.

Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Включение поддержки протокола TLS 1.1 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls11-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Сохраните файл tls11-enable.reg.

  4. Дважды щелкните файл tls11-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Включение поддержки протокола TLS 1.2 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Сохраните файл tls12-enable.reg.

  4. Дважды щелкните файл tls12-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

2.2. Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Microsoft SQL Server

Версии SQL Server, предшествующие SQL Server 2016, не поддерживают протокол TLS 1.1 или TLS 1.2 по умолчанию. Чтобы добавить поддержку протоколов TLS 1.1 и TLS 1.2, необходимо установить обновления для SQL Server.

Чтобы включить поддержку протоколов TLS 1.1 и TLS 1.2 для SQL Server, следуйте инструкциям из статьи базы знаний Поддержка протокола TLS 1.2 для Microsoft SQL Server.

2.3. Отключение более ранних версий протоколов SSL и TLS в Windows Schannel

Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.

Важно!

Корпорация Майкрософт рекомендует отключить протоколы SSL 2.0 и SSL 3.0 из-за серьезных уязвимостей в этих версиях протокола.
Клиенты также могут отключить протоколы TLS 1.0 и TLS 1.1, чтобы использовалась только последняя версия протокола. Но это может вызвать проблемы совместимости с программным обеспечением, которое не поддерживает самую новую версию протокола TLS. Клиентам следует испытать такое изменение перед выполнением его в рабочей среде.

Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Отключение поддержки протокола SSL 2.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем ssl20-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл ssl20-disable.reg.

  4. Дважды щелкните файл ssl20-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола SSL 3.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем ssl30-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл ssl30-disable.reg.

  4. Дважды щелкните файл ssl30-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола TLS 1.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls10-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл tls10-disable.reg.

  4. Дважды щелкните файл tls10-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола TLS 1.1 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls11-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл tls11-disable.reg.

  4. Дважды щелкните файл tls11-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Этап 3. Обновление клиентских компьютеров, используемых для доступа к сайтам SharePoint

Указанные ниже действия помогут выполнить обновление для клиентских компьютеров, у которых есть доступ к сайту SharePoint.

Действия для клиентских компьютеров Windows 7 Windows 8.1 Windows 10

Включение протоколов TLS 1.1 и TLS 1.2 в Windows Schannel

Обязательно

Н/д

Н/д

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в WinHTTP

Обязательно

Н/д

Н/д

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Internet Explorer

Обязательно

Н/д

Н/д

Включение криптостойкого алгоритма шифрования для .NET Framework 4.5 и более поздних версий

Обязательно

Обязательный

Обязательно

Установка обновления .NET Framework 3.5 для поддержки протоколов TLS 1.1 и TLS 1.2

Обязательно

Обязательный

Обязательно

Рекомендуем выполнить указанное ниже действие. Хотя оно не требуется непосредственно для SharePoint Server 2016, но обеспечивает более высокий уровень безопасности, так как позволяет запретить использование уязвимых алгоритмов шифрования.

Включение криптостойкого алгоритма шифрования для .NET Framework 3.5

Рекомендовано

Рекомендовано

Рекомендовано

Указанное ниже действие необязательно. Вы можете выполнить его, соблюдая требования соответствия вашей организации, в том числе к обеспечению безопасности.

Отключение более ранних версий протоколов SSL и TLS в Windows Schannel

Необязательно

Необязательный

Необязательно

3.1. Включение протоколов TLS 1.1 и TLS 1.2 в Windows Schannel

Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.

Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Включение поддержки протокола TLS 1.1 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls11-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Сохраните файл tls11-enable.reg.

  4. Дважды щелкните файл tls11-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Включение поддержки протокола TLS 1.2 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Сохраните файл tls12-enable.reg.

  4. Дважды щелкните файл tls12-enable.reg.

  5. Выберите Yes, чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

3.2. Включение поддержки протоколов TLS 1.1 и TLS 1.2 в WinHTTP

WinHTTP не наследует значения по умолчанию для версий протоколов шифрования SSL и TLS из значения реестра DisabledByDefault в Windows Schannel. WinHTTP использует собственные значения по умолчанию для версий протоколов шифрования SSL и TLS, которые зависят от операционной системы. Чтобы переопределить значения по умолчанию, необходимо установить обновление, указанное в базе знаний, и настроить разделы реестра Windows.

Значение реестра DefaultSecureProtocols для WinHTTP представляет собой битовое поле, которое принимает несколько значений, суммируя их в одно значение. Можно воспользоваться программой "Калькулятор Windows" (Calc.exe) в режиме "Программист", чтобы добавить указанные ниже шестнадцатеричные значения по своему усмотрению.

Значение DefaultSecureProtocols Описание

0x00000008

Включить протокол SSL 2.0 по умолчанию

0x00000020

Включить протокол SSL 3.0 по умолчанию

0x00000080

Включить протокол TLS 1.0 по умолчанию

0x00000200

Включить протокол TLS 1.1 по умолчанию

0x00000800

Включить протокол TLS 1.2 по умолчанию

Например, можно включить протоколы TLS 1.0, TLS 1.1 и TLS 1.2 по умолчанию, сложив значения 0x00000080, 0x00000200 и 0x00000800, которые в сумме дают значение 0x00000A80.

Чтобы установить для WinHTTP обновление, указанное в базе знаний, следуйте инструкциям в статье Обновление для включения протоколов TLS 1.1 и TLS 1.2 в качестве протоколов обеспечения безопасности по умолчанию в WinHTTP Windows.

Включение протоколов TLS 1.0, TLS 1.1 и TLS 1.2 по умолчанию в WinHTTP

  1. Используя Notepad.exe, создайте текстовый файл с именем winhttp-tls10-tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    

    For 32-bit operating system

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Сохраните файл winhttp-tls10-tls12-enable.reg.

  4. Дважды щелкните файл winhttp-tls10-tls12-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

3.3. Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Internet Explorer

Версии Internet Explorer, предшествующие версии Internet Explorer 11, не предусматривали поддержку протоколов TLS 1.1 или TLS 1.2 по умолчанию. Поддержка этих протоколов включена по умолчанию в Internet Explorer 11 и более поздних версий.

Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Internet Explorer

  1. В Internet Explorer последовательно выберите элементы "Сервис" > "Свойства браузера" > "Дополнительно" или щелкните значок и выберите "Свойства браузера" > "Дополнительно".

  2. В разделе "Безопасность" установите следующие флажки:

    • "Использовать TLS 1.1";

    • "Использовать TLS 1.2".

  3. Если вы хотите отключить поддержку более ранних версий протокола обеспечения безопасности, вы можете снять следующие флажки:

    • "SSL 2.0";

    • "SSL 3.0";

    • "TLS 1.0".

      Примечание

      Отключение протокола TLS 1.0 может вызвать проблемы совместимости с сайтами, которые не поддерживают более поздние версии протокола обеспечения безопасности. Клиентам следует испытать это изменение перед выполнением его в рабочей среде.

  4. Нажмите кнопку "ОК".

3.4. Включение криптостойкого алгоритма шифрования для .NET Framework 4.5 и более поздних версий

В .NET Framework 4.5 и более поздних версий не наследуются значения по умолчанию для версий протоколов шифрования SSL и TLS из значения реестра DisabledByDefault в Windows Schannel. Эта платформа использует собственные значения по умолчанию для версий протоколов шифрования SSL и TLS. Чтобы переопределить значения по умолчанию, необходимо настроить разделы реестра Windows.

Значение реестра SchUseStrongCrypto изменяет значение по умолчанию для версии протокола, обеспечивающего безопасность, в .NET Framework 4.5 и более поздних версий с SSL 3.0 или TLS 1.0 на TLS 1.0, TLS 1.1 или TLS 1.2. Кроме того, оно ограничивает использование алгоритмов шифрования для протокола TLS, которые считаются уязвимыми, например RC4.

Поведение приложений, скомпилированных для .NET Framework 4.6 и более поздних версий, будет таким, будто значение раздела реестра SchUseStrongCrypto — 1, даже если это не так. Чтобы обеспечить использование во всех приложениях .NET Framework криптостойкого алгоритма, настройте это значение реестра Windows.

Корпорация Майкрософт выпустила необязательное обновление для системы безопасности для .NET Framework 4.5, 4.5.1 и 4.5.2, которое автоматически настраивает разделы реестра Windows. Для .NET Framework 4.6 и более поздних версий обновления недоступны. Для .NET Framework 4.6 и более поздних версий вам необходимо вручную настроить разделы реестра Windows.

For Windows 7 and Windows Server 2008 R2

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 4.5 и 4.5.1 в Windows 7 и Windows Server 2008 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework версий 4.5 и 4.5.1 в Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) за 13 мая 2014 г.

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 4.5.2 в Windows 7 и Windows Server 2008 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework 4.5.2 в Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) за 13 мая 2014 г.

For Windows Server 2012

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 4.5, 4.5.1 и 4.5.2 в Windows Server 2012, см. статью базы знаний Описание обновления для системы безопасности для NET Framework 4.5, 4.5.1 и 4.5.2 в Windows 8, Windows RT и Windows Server 2012 за 13 мая 2014 г.

Windows 8.1 and Windows Server 2012 R2

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 4.5.1 и 4.5.2 в Windows 8.1 и Windows Server 2012 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework версий 4.5.1 и 4.5.2 в Windows 8.1, Windows RT 8.1 и Windows Server 2012 R2 за 13 мая 2014 г.

Включение надежного шифрования в .NET Framework 4.6 и более поздних версий

  1. Используя Notepad.exe, создайте текстовый файл с именем net46-strong-crypto-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Сохраните файл net46-strong-crypto-enable.reg.

  4. Дважды щелкните файл net46-strong-crypto-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

3.5. Установка обновления .NET Framework 3.5 для поддержки протоколов TLS 1.1 и TLS 1.2

В .NET Framework 3.5 по умолчанию не поддерживаются протоколы TLS 1.1 или TLS 1.2. Чтобы добавить поддержку протоколов TLS 1.1 и TLS 1.2, установите обновление, указанное в базе данных, и вручную настройте разделы реестра Windows для каждой операционной системы, указанной в этом разделе.

Значение реестра SystemDefaultTlsVersions определяет, какие значения по умолчанию для версий протоколов обеспечения безопасности будут использоваться в .NET Framework 3.5. Если задано значение 0, в .NET Framework 3.5 по умолчанию будет использоваться протокол SSL 3.0 или TLS 1.0. Если задано значение 1, в .NET Framework 3.5 наследуются значения по умолчанию из значений реестра DisabledByDefault в Windows Schannel. Если это значение не определено, применяются действия, соответствующие значению 0.

Включение в .NET Framework 3.5 наследования значений по умолчанию для протоколов шифрования из Windows

Windows 7 and Windows Server 2008 R2

  1. Чтобы установить обновление .NET Framework 3.5.1 для Windows 7 и Windows Server 2008 R2, см. статью базы знаний Поддержка системных значений по умолчанию, касающихся протокола TLS, в .NET Framework 3.5.1 для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

For Windows Server 2012

  1. Чтобы установить обновление .NET Framework 3.5 для Windows Server 2012, см. статью базы знаний Поддержка системных значений по умолчанию, касающихся протокола TLS, в .NET Framework 3.5 для Windows Server 2012.

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

Windows 8.1 and Windows Server 2012 R2

  1. Чтобы установить обновление .NET Framework 3.5 с пакетом обновления 1 (SP1) для Windows 8.1 и Windows Server 2012 R2, см. статью базы знаний Поддержка системных значений по умолчанию, касающихся протокола TLS, в .NET Framework 3.5 для Windows 8.1 и Windows Server 2012 R2.

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

Windows 10 (Version 1507)

Windows 10 (Version 1511)

  1. Чтобы установить накопительный пакет обновления для Windows 10 версии 1511 и Windows Server 2016 Technical Preview 4 от 10 мая 2016 г., см. статью Накопительный пакет обновления для Windows 10 версии 1511 и Windows Server 2016 Technical Preview 4 от 10 мая 2016 г.

  2. После установки обновления, указанного в базе знаний, вручную настройте разделы реестра.

Windows 10 (Version 1607) and Windows Server 2016

Обновления устанавливать не нужно. Настройте разделы реестра Windows, как описано ниже.

To manually configure the registry keys, do the following:

  1. Используя Notepad.exe, создайте текстовый файл с именем net35-tls12-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Сохраните файл net35-tls12-enable.reg.

  4. Дважды щелкните файл net35-tls12-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

3.6. Включение криптостойкого алгоритма шифрования для .NET Framework 3.5

Значение реестра SchUseStrongCrypto ограничивает использование алгоритмов шифрования для протокола TLS, которые считаются уязвимыми, например RC4.

Корпорация Майкрософт выпустила необязательное обновление для системы безопасности для .NET Framework 3.5 в операционных системах, предшествующих Windows 10, которое автоматически настраивает разделы реестра Windows. Обновления для Windows 10 отсутствуют. В Windows 10 вам необходимо вручную настроить разделы реестра Windows.

Windows 7 and Windows Server 2008 R2

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 3.5.1 в Windows 7 и Windows Server 2008 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework 3.5.1 в Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) за 13 мая 2014 г.

For Windows Server 2012

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 3.5 в Windows Server 2012, см. статью базы знаний Описание обновления для системы безопасности .NET Framework 3.5 в Windows 8 и Windows Server 2012 за 13 мая 2014 г.

Windows 8.1 and Windows Server 2012 R2

Чтобы включить криптостойкий алгоритм шифрования для .NET Framework 3.5 в Windows 8.1 и Windows Server 2012 R2, см. статью базы знаний Описание обновления для системы безопасности для .NET Framework 3.5 в Windows 8.1 и Windows Server 2012 R2 за 13 мая 2014 г.

To enable strong cryptography in .NET Framework 3.5 on Windows 10 and Windows Server 2016

  1. Используя Notepad.exe, создайте текстовый файл с именем net35-strong-crypto-enable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Сохраните файл net35-strong-crypto-enable.reg.

  4. Дважды щелкните файл net35-strong-crypto-enable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

3.7. Отключение более ранних версий протоколов SSL и TLS в Windows Schannel

Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.

Важно!

Корпорация Майкрософт рекомендует отключить протоколы SSL 2.0 и SSL 3.0 из-за серьезных уязвимостей в этих версиях протокола.
Клиенты также могут отключить протоколы TLS 1.0 и TLS 1.1, чтобы использовалась только последняя версия протокола. Но это может вызвать проблемы совместимости с программным обеспечением, которое не поддерживает самую новую версию протокола TLS. Клиентам следует испытать такое изменение перед выполнением его в рабочей среде.

Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.

Отключение поддержки протокола SSL 2.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем ssl20-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл ssl20-disable.reg.

  4. Дважды щелкните файл ssl20-disable.reg.

  5. Выберите Yes, чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола SSL 3.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем ssl30-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл ssl30-disable.reg.

  4. Дважды щелкните файл ssl30-disable.reg.

  5. Выберите Yes, чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола TLS 1.0 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls10-disable.reg .

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл tls10-disable.reg .

  4. Дважды щелкните файл tls10-disable.reg .

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение поддержки протокола TLS 1.1 в Windows Schannel

  1. Используя Notepad.exe, создайте текстовый файл с именем tls11-disable.reg.

  2. Скопируйте и вставьте указанный ниже текст.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Сохраните файл tls11-disable.reg.

  4. Дважды щелкните файл tls11-disable.reg.

  5. Выберите Yes , чтобы применить изменения, внесенные в реестр Windows.

  6. Перезагрузите компьютер, чтобы изменения вступили в силу.