启用 SharePoint 2013 中的 TLS 和 SSL 支持
**上一次修改主题:**2018-03-05
**摘要:**本文介绍了如何在 SharePoint 2013 环境中启用传输层安全性 (TLS) 协议版本 1.1 和 1.2。
默认情况下,SharePoint Server 2016 中不启用 TLS 协议版本 1.1 和 1.2 支持。若要启用支持,必须在以下各个位置一次性安装更新和更改配置设置:
SharePoint 场中的 SharePoint 服务器
SharePoint 场中的 Microsoft SQL 服务器
用于访问 SharePoint 站点的客户端计算机
重要
如果不更新这些位置,系统在使用 TLS 1.1 或 TLS 1.2 彼此相互连接时可能存在失败的风险。系统将求助于以前的安全协议;如果以前的安全协议禁用,系统可能完全无法连接。
示例:SharePoint 服务器可能无法连接到 SQL Server 数据库,或者客户端计算机可能无法连接到 SharePoint 网站。
更新过程的摘要
下图显示了在 SharePoint 服务器、SQL Server 和客户端计算机上启用 TLS 1.1 和 TLS 1.2 支持所需的三步流程。
.png "Displays steps to enable TLS and SSL on SharePoint servers")
步骤 1:在 SharePoint 场中更新 SharePoint 服务器
请按照以下步骤更新你的 SharePoint 服务器。
| 针对 SharePoint Server 的步骤 | Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012 R2 |
|---|---|---|---|
| 必需 | 不适用 | 不适用 | |
| 必需 | 必需 | 不适用 | |
| 必需 | 必需 | 不适用 | |
| 必需 | 必需 | 必需 | |
| 必需 | 必需 | 必需 | |
| 必需 | 必需 | 必需 | |
| 建议使用以下步骤。虽然 SharePoint Server 2016 没有直接要求,但是与 SharePoint Server 2016 集成的其他软件可能需要它们。 | |||
| 建议 | 建议 | 建议 | |
| 建议 | 建议 | 建议 | |
| 以下步骤是可选的。可以根据组织的安全性和合规性要求选择运行此步骤。 | |||
| 可选 | 可选 | 可选 | |
1.1 - 在 Windows Schannel 中启用 TLS 1.1 和 TLS 1.2
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0,则将以默认方式使用该协议版本。如果该值设置为 1,则不会以默认方式使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
To enable TLS 1.1 support in Windows Schannel
从 Notepad.exe,创建一个名为 tls11-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001保存 tls11-enable.reg 文件。
双击 tls11-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
To enable TLS 1.2 support in Windows Schannel
从 Notepad.exe,创建一个名为 tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001保存 tls12-enable.reg 文件。
双击 tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
1.2 - 在 WinHTTP 中启用 TLS 1.1 和 TLS 1.2 支持
WinHTTP 不从 Windows Schannel DisabledByDefault 注册表值中继承其默认的 SSL 和 TLS 加密协议版本。WinHTTP 使用它自己的默认 SSL 和 TLS 加密协议版本,因操作系统而异。若要替代默认值,必须安装 KB 更新并配置 Windows 注册表项。
WinHTTP DefaultSecureProtocols 注册表值是一个位域,它通过将多个值一同添加到单个值来接受它们。可以使用 Windows 计算器程序 (Calc.exe) 以编程模式添加下面所需的十六进制值。
| DefaultSecureProtocols 值 | 说明 |
|---|---|
0x00000008 |
默认情况下启用 SSL 2.0 |
0x00000020 |
默认情况下启用 SSL 3.0 |
0x00000080 |
默认情况下启用 TLS 1.0 |
0x00000200 |
默认情况下启用 TLS 1.1 |
0x00000800 |
默认情况下启用 TLS 1.2 |
例如,可以通过一同添加值 0x00000080、0x00000200 和 0x00000800 以形成值 0x00000A80,在默认情况下启用 TLS 1.0、TLS 1.1 和 TLS 1.2。
要安装 WinHTTP KB 更新,请按照以下 KB 文章中的说明执行操作:Update to enable TLS 1.1 and TLS 1.2 as a default secure protocols in WinHTTP in Windows(在 Windows 的 WinHTTP 中进行更新以启用 TLS 1.1 和 TLS 1.2 作为默认安全协议)
To enable TLS 1.0, TLS 1.1, and TLS 1.2 by default in WinHTTP
从 Notepad.exe,创建一个名为 winhttp-tls10-tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000A80 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000A80保存 winhttp-tls10-tls12-enable.reg 文件。
双击 winhttp-tls10-tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
1.3 - 在 Internet Explorer 中启用 TLS 1.1 和 TLS 1.2 支持
默认情况下,早于 Internet Explorer 11 的 Internet Explorer 版本未启用 TLS 1.1 或 TLS 1.2 支持。默认情况下,Internet Explorer 11 开始启用 TLS 1.1 和 TLS 1.2 的支持。
在 Internet Explorer 中启用 TLS 1.1 和 TLS 1.2 支持
在 Internet Explorer 中单击“Tools > Internet Options > Advanced”或单击“
.jpg "Displays settings menu for Internet Explorer")
>Internet Options > Advanced”。在 Security 部分,如果没有单击以下复选框,请验证以下复选框是否被选中:
使用 TLS 1.1
使用 TLS 1.2
或者,如果要禁用前安全协议版本的支持,请选中下面的复选框:
使用 SSL 2.0
使用 SSL 3.0
使用 TLS 1.0
备注
禁用 TLS 1.0 可能导致不支持较新的安全协议版本的站点的兼容性问题。客户应在生产环境中执行更改前测试此更改。
单击“OK”。
1.4 - 安装 SQL Server 2008 R2 Native Client 更新以获取 TLS 1.2 支持
SQL Server 2008 R2 Native Client 默认情况下不支持 TLS 1.1 或 TLS 1.2。必须安装 SQL Server 2008 R2 Native Client 更新以获取 TLS 1.2 支持。
若要安装 SQL Server 2008 R2 Native Client 更新,请参阅 KB 文章 Hotfix for SQL Server 2008 R2(适用于 SQL Server 2008 R2 的修补程序)
1.5 - 安装 .NET Framework 4.6 或更高版本
SharePoint 2013 需要 .NET Framework 4.6, .NET Framework 4.6.1 或 .NET Framework 4.6.2 以支持 TLS 1.2。Microsoft 建议安装最新版本的 .NET Framework,以实现最新的功能和可靠性改进。
若要安装 .NET Framework 4.6.2,请参阅 KB 文章 Microsoft .NET Framework 4.6.2 (Web Installer) for Windows(适用于 Windows 的 Microsoft .NET Framework 4.6.2 (Web 安装程序))
若要安装 .NET Framework 4.6.1,请参阅 KB 文章 The .NET Framework 4.6.1 web installer for Windows(适用于 Windows 的 .NET Framework 4.6.1 Web 安装程序)
若要安装 .NET Framework 4.6,请参阅 KB 文章 Microsoft .NET Framework 4.6 (Web Installer) for Windows(适用于 Windows 的 Microsoft .NET Framework 4.6 (Web 安装程序))
1.6 - 在 .NET Framework 4.6 或更高版本中启用强加密
.NET Framework 4.6 和更高版本不从 Windows Schannel DisabledByDefault 注册表值中继承其默认的 SSL 和 TLS 加密协议版本。相反,它使用自己的默认 SSL 和 TLS 加密协议版本。若要替代默认值,必须配置 Windows 注册表项。
SchUseStrongCrypto 注册表值将 .NET Framework 4.6 和更高版本的默认加密协议版本从 SSL 3.0 或 TLS 1.0 更改为 TLS 1.0、TLS 1.1 或 TLS 1.2。此外,它限制使用 TLS 的被认为较弱的加密算法的使用,如 RC4。
为 .NET Framework 4.6 或更高版本编译的应用程序将表现为 SchUseStrongCrypto 如同注册表值设置为 1,即使它不是。若要确保所有 .NET Framework 应用程序都将使用强加密,则必须配置此 Windows 注册表值。
启用 .NET Framework 4.6 或更高版本中的强加密
从 Notepad.exe,创建一个名为 net46-strong-crypto-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001保存 net46-strong-crypto-enable.reg 文件。
双击 net46-strong-crypto-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
1.7 - 安装 .NET Framework 3.5 更新以获取 TLS 1.1 和 TLS 1.2 支持
.NET Framework 3.5 默认情况下不支持 TLS 1.1 或 TLS 1.2。若要添加 TLS 1.1 和 TLS 1.2 支持,必须安装 KB 更新,然后手动配置 Windows 注册表项。
SharePoint 2013 建立在 .NET Framework 4.x 基础之上,不使用 .NET Framework 3.5。然而,某些必备组件和与 SharePoint 2013 集成的第三方软件可以使用 .NET Framework 3.5。Microsoft 建议安装并配置此更新以改善与 TLS 1.2 的兼容性。
SystemDefaultTlsVersions 注册表值定义 .NET Framework 3.5 将使用哪个默认的安全协议版本。如果值设置为 0,.NET Framework 3.5 将默认为 SSL 3.0 or TLS 1.0。如果值设置为 1,.NET Framework 3.5 将从 Windows Schannel DisabledByDefault 注册表值中继承其默认版本。如果值未定义,它将表现为如同值设置为 0。
For Windows Server 2008 R2
要为 Windows Server 2008 R2 安装 .NET Framework 3.5.1 更新,请参阅 KB 文章 Support for TLS System Default Versions included in the .NET Framework 3.5.1 on Windows 7 SP1 and Server 2008 R2 SP1(Windows 7 SP1 和 Server 2008 R2 SP1 上的 .NET Framework 3.5.1 中包含的 TLS 系统默认版本支持)
安装 KB 更新后,手动配置注册表项。
For Windows Server 2012
要为 Windows Server 2012 安装 .NET Framework 3.5 更新,请参阅 KB文章 Support for TLS System Default Versions included in the .NET Framework 3.5 on Windows Server 2012(Windows Server 2012 上的 .NET Framework 3.5 中包含的 TLS 系统默认版本支持)
安装 KB 更新后,手动配置注册表项。
For Windows Server 2012 R2
要为 Windows Server 2012 R2 安装 .NET Framework 3.5 SP1 更新,请参阅 KB 文章 Support for TLS System Default Versions included in the .NET Framework 3.5 on Windows 8.1 and Windows Server 2012 R2(Windows 8.1 和 Windows Server 2012 R2 上的 .NET Framework 3.5 中包含的 TLS 系统默认版本支持)
安装 KB 更新后,手动配置注册表项。
To manually configure the registry keys, do the following:
从 Notepad.exe,创建一个名为 net35-tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001保存 net35-tls12-enable.reg 文件。
双击 net35-tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
1.8 - 在.NET Framework 3.5 中启用强加密
SchUseStrongCrypto 注册表值限制使用 TLS 的被认为较弱的加密算法的使用,如 RC4。
Microsoft 已为 .NET Framework 3.5 发布了一个可选的安全更新,此更新将自动为你配置 Windows 注册表项。
Windows Server 2008 R2
若要在 Windows Server 2008 R2 上的 .NET Framework 3.5.1 中启用强密码。请参阅 KB 文章 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上 .NET Framework 3.5.1 的安全更新说明:2014 年 5 月 13 日
Windows Server 2012
若要在 Windows Server 2012 上的 .NET Framework 3.5 中启用强密码。请参阅 KB 文章 Windows 8 和 Windows Server 2012 上的 .NET Framework 3.5 的安全更新说明:2014 年 5 月 13 日
Windows Server 2012 R2
若要在 Windows Server 2012 R2 上的 .NET Framework 3.5 中启用强密码。请参阅 KB 文章 Windows 8.1 和 Windows Server 2012 R2上的 .NET Framework 3.5 的安全更新说明:2014 年 5 月 13 日
1.9 - 在 Windows Schannel 中禁用早期版本的 SSL 和 TLS
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
重要
由于这些协议版本中严重的安全漏洞,Microsoft 建议禁用 SSL 2.0 和 SSL 3.0。
客户还可以选择禁用 TLS 1.0 和 TLS 1.1,以确保仅使用最新的协议版本。但是,这可能导致不支持最新 TLS 协议版本的软件兼容性问题。客户应在生产中执行更改前测试此更改。
Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0,则将以默认方式使用该协议版本。如果该值设置为 1,则不会以默认方式使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
在 Windows Schannel 中禁用 SSL 2.0 支持
从 Notepad.exe,创建一个名为 ssl20-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 ssl20-disable.reg 文件。
双击 ssl20-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 SSL 3.0 支持
从 Notepad.exe,创建一个名为 ssl30-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 ssl30-disable.reg 文件。
双击 ssl30-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 TLS 1.0 支持
从 Notepad.exe,创建一个名为 tls10-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 tls10-disable.reg 文件。
双击 tls10-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 TLS 1.1 支持
从 Notepad.exe,创建一个名为 tls11-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 tls11-disable.reg 文件。
双击 tls11-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
步骤 2:在 SharePoint 场中更新 Microsoft SQL 服务器
请按照以下步骤在 SharePoint 场中更新 SQL Server。
| 针对 SQL Server 的步骤 | Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012 R2 |
|---|---|---|---|
| 必需 | 不适用 | 不适用 | |
| 必需 | 必需 | 必需 | |
| 以下步骤是可选的。可以根据组织的安全性和合规性要求来运行此步骤。 | |||
| 可选 | 可选 | 可选 | |
2.1 - 在 Windows Schannel 中启用 TLS 1.1 和 TLS 1.2
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0,则将以默认方式使用该协议版本。如果该值设置为 1,则不会以默认方式使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
在 Windows Schannel 中启用 TLS 1.1 支持
从 Notepad.exe,创建一个名为 tls11-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001保存 tls11-enable.reg 文件。
双击 tls11-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中启用 TLS 1.2 支持
从 Notepad.exe,创建一个名为 tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001保存 tls12-enable.reg 文件。
双击 tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
2.2 - 启用 Microsoft SQL Server 中的 TLS 1.1 和 TLS 1.2 支持
早于 SQL Server 2016 的 SQL Server 版本默认情况下不支持 TLS 1.1 或 TLS 1.2。若要添加 TLS 1.1 和 TLS 1.2 支持,必须为 SQL Server 安装更新。
若要在 SQL Server 中启用 TLS 1.1 和 TLS 1.2 支持,请按照 KB 文章中的说明 对 Microsoft SQL Server 的 TLS 1.2 支持
2.3 - 在 Windows Schannel 中禁用早期版本的 SSL 和 TLS
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
重要
由于这些协议版本中严重的安全漏洞,Microsoft 建议禁用 SSL 2.0 和 SSL 3.0。
客户还可以选择禁用 TLS 1.0 和 TLS 1.1,以确保仅使用最新的协议版本。但是,这可能导致不支持最新 TLS 协议版本的软件兼容性问题。客户应在生产中执行更改前测试此更改。
Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0,则将以默认方式使用该协议版本。如果该值设置为 1,则不会以默认方式使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
在 Windows Schannel 中禁用 SSL 2.0 支持
从 Notepad.exe,创建一个名为 ssl20-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 ssl20-disable.reg 文件。
双击 ssl20-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 SSL 3.0 支持
从 Notepad.exe,创建一个名为 ssl30-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 ssl30-disable.reg 文件。
双击 ssl30-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 TLS 1.0 支持
从 Notepad.exe,创建一个名为 tls10-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 tls10-disable.reg 文件。
双击 tls10-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 TLS 1.1 支持
从 Notepad.exe,创建一个名为 tls11-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 tls11-disable.reg 文件。
双击 tls11-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
步骤 3:更新用于访问 SharePoint 站点的客户端计算机
请按照以下步骤更新访问 SharePoint 站点的客户端计算机。
| 针对客户端计算机的步骤 | Windows 7 | Windows 8.1 | Windows 10 |
|---|---|---|---|
| 必需 | 不适用 | 不适用 | |
| 必需 | 不适用 | 不适用 | |
| 必需 | 不适用 | 不适用 | |
| 必需 | 必需 | 必需 | |
| 必需 | 必需 | 必需 | |
| 建议使用以下步骤。虽然 SharePoint Server 2016 没有直接要求,但是它们通过限制使用弱加密算法来提供更好的安全性。 | |||
| 建议 | 建议 | 建议 | |
| 以下步骤是可选的。可以根据组织的安全性和合规性要求选择运行此步骤。 | |||
| 可选 | 可选 | 可选 | |
3.1 - 在 Windows Schannel 中启用 TLS 1.1 和 TLS 1.2
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0,则将以默认方式使用该协议版本。如果该值设置为 1,则不会以默认方式使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
在 Windows Schannel 中启用 TLS 1.1 支持
从 Notepad.exe,创建一个名为 tls11-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001保存 tls11-enable.reg 文件。
双击 tls11-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中启用 TLS 1.2 支持
从 Notepad.exe,创建一个名为 tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001保存 tls12-enable.reg 文件。
双击 tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
3.2 - 在 WinHTTP 中启用 TLS 1.1 和 TLS 1.2 支持
WinHTTP 不从 Windows Schannel DisabledByDefault 注册表值中继承其默认的 SSL 和 TLS 加密协议版本。WinHTTP 使用它自己的默认 SSL 和 TLS 加密协议版本,因操作系统而异。若要替代默认值,必须安装 KB 更新并配置 Windows 注册表项。
WinHTTP DefaultSecureProtocols 注册表值是一个位域,它通过将多个值一同添加到单个值来接受它们。可以使用 Windows 计算器程序 (Calc.exe) 以编程模式添加下面所需的十六进制值。
| DefaultSecureProtocols 值 | 说明 |
|---|---|
0x00000008 |
默认情况下启用 SSL 2.0 |
0x00000020 |
默认情况下启用 SSL 3.0 |
0x00000080 |
默认情况下启用 TLS 1.0 |
0x00000200 |
默认情况下启用 TLS 1.1 |
0x00000800 |
默认情况下启用 TLS 1.2 |
例如,可以通过一同添加值 0x00000080、0x00000200 和 0x00000800 以形成值 0x00000A80,在默认情况下启用 TLS 1.0、TLS 1.1 和 TLS 1.2。
要安装 WinHTTP KB 更新,请按照以下 KB 文章中的说明执行操作:Update to enable TLS 1.1 and TLS 1.2 as a default secure protocols in WinHTTP in Windows(在 Windows 的 WinHTTP 中进行更新以启用 TLS 1.1 和 TLS 1.2 作为默认安全协议)
在 WinHTTP 中默认启用 TLS 1.0、TLS 1.1 和 TLS 1.2
从 Notepad.exe,创建一个名为 winhttp-tls10-tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
For 64-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000A80 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000A80For 32-bit operating system
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000A80保存 winhttp-tls10-tls12-enable.reg 文件。
双击 winhttp-tls10-tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
3.3 - 在 Internet Explorer 中启用 TLS 1.1 和 TLS 1.2 支持
默认情况下,早于 Internet Explorer 11 的 Internet Explorer 版本未启用 TLS 1.1 或 TLS 1.2 支持。默认情况下,Internet Explorer 11 开始启用 TLS 1.1 和 TLS 1.2 的支持。
在 Internet Explorer 中启用 TLS 1.1 和 TLS 1.2 支持
在 Internet Explorer 中单击“Tools > Internet Options > Advanced”或单击“
>Internet Options > Advanced”。在 Security 部分,验证以下复选框是否被选中。如果没有,请单击以下复选框:
使用 TLS 1.1
使用 TLS 1.2
或者,如果要禁用前安全协议版本的支持,请选中下面的复选框:
使用 SSL 2.0
使用 SSL 3.0
使用 TLS 1.0
备注
禁用 TLS 1.0 可能导致不支持较新的安全协议版本的站点的兼容性问题。客户应在生产环境中执行更改前测试此更改。
单击OK。
3.4 - 在 .NET Framework 4.5 或更高版本中启用强加密
.NET Framework 4.5 和更高版本不从 Windows Schannel DisabledByDefault 注册表值中继承其默认的 SSL 和 TLS 加密协议版本。相反,它使用自己的默认 SSL 和 TLS 加密协议版本。若要替代默认值,必须配置 Windows 注册表项。
SchUseStrongCrypto 注册表值将 .NET Framework 4.5 和更高版本的默认安全协议版本从 SSL 3.0 或 TLS 1.0 更改为 TLS 1.0、TLS 1.1 或 TLS 1.2。此外,它限制使用 TLS 的被认为较弱的加密算法的使用,如 RC4。
为 .NET Framework 4.6 或更高版本编译的应用程序将表现为 SchUseStrongCrypto 如同注册表值设置为 1,即使它不是。若要确保所有 .NET Framework 应用程序都将使用强加密,则必须配置此 Windows 注册表值。
Microsoft 已为 .NET Framework 4.5、4.5.1 和 4.5.2 发布了一个可选的安全更新,此更新将自动为你配置 Windows 注册表项。没有适用于 .NET Framework 4.6 或更高版本的更新。必须在 .NET Framework 4.6 或更高版本上手动配置 Windows 注册表项。
For Windows 7 and Windows Server 2008 R2
若要在 Windows 7 和 Windows Server 2008 R2 上的 .NET Framework 4.5 和 4.5.1 中启用强密码。请参阅 KB 文章 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上的 .NET Framework 4.5 和 .NET Framework 4.5.1 的安全更新说明:2014 年 5 月 13 日。
若要在 Windows 7 和 Windows Server 2008 R2 上的 .NET Framework 4.5.2 中启用强密码。请参阅 KB 文章 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上的 .NET Framework 4.5.2 的安全更新说明:2014 年 5 月 13 日。
For Windows Server 2012
若要在 Windows Server 2012 上的 .NET Framework 4.5、4.5.1 和 4.5.2 中启用强加密,请参阅 KB 文章 Windows 8、Windows RT 和 Windows Server 2012 上的 .NET Framework 4.5, .NET Framework 4.5.1 和 .NET Framework 4.5.2 的安全更新说明:2014 年 5 月 13 日。
Windows 8.1 and Windows Server 2012 R2
若要在 Windows 8.1 和 Windows Server 2012 R2 上的 .NET Framework 4.5.1 和 4.5.2 中启用强密码。请参阅 KB 文章 Windows 8.1、 Windows RT 8.1,和 Windows Server 2012 R2 上的 .NET Framework 4.5.1 和 .NET Framework 4.5.2 的安全更新说明:2014 年 5 月 13 日。
启用 .NET Framework 4.6 或更高版本中的强加密
从 Notepad.exe,创建一个名为 net46-strong-crypto-enable.reg 的文本文件。
复制,然后粘贴以下文本。
For 64-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001For 32-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001保存 net46-strong-crypto-enable.reg 文件。
双击 net46-strong-crypto-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
3.5 - 安装 .NET Framework 3.5 更新以获取 TLS 1.1 和 TLS 1.2 支持
.NET Framework 3.5 默认情况下不支持 TLS 1.1 或 TLS 1.2。若要添加 TLS 1.1 和 TLS 1.2 支持,必须安装 KB 更新,然后为本部分列出的每个操作系统手动配置 Windows 注册表项。
SystemDefaultTlsVersions 注册表值定义 .NET Framework 3.5 将使用哪个默认的安全协议版本。如果值设置为 0,.NET Framework 3.5 将默认为 SSL 3.0 or TLS 1.0。如果值设置为 1,.NET Framework 3.5 将从 Windows Schannel DisabledByDefault 注册表值中继承其默认版本。如果值未定义,它将表现为如同值设置为 0。
启用 .NET Framework 3.5 以从 Windows 中继承其默认的加密协议
Windows 7 and Windows Server 2008 R2
要为 Windows 7 和 Windows Server 2008 R2 安装 .NET Framework 3.5.1 更新,请参阅 KB 文章 Support for TLS System Default Versions included in the .NET Framework 3.5.1 on Windows 7 SP1 and Server 2008 R2 SP1(Windows 7 SP1 和 Server 2008 R2 SP1 上的 .NET Framework 3.5.1 中包含的 TLS 系统默认版本支持)。
安装 KB 更新后,手动配置注册表项。
For Windows Server 2012
要为 Windows Server 2012 安装 .NET Framework 3.5 更新,请参阅 KB文章 Support for TLS System Default Versions included in the .NET Framework 3.5 on Windows Server 2012(Windows Server 2012 上的 .NET Framework 3.5 中包含的 TLS 系统默认版本支持)
安装 KB 更新后,手动配置注册表项。
Windows 8.1 and Windows Server 2012 R2
要为 Windows 8.1 和 Windows Server 2012 R2 安装 .NET Framework 3.5 SP1 更新,请参阅 KB 文章 Support for TLS System Default Versions included in the .NET Framework 3.5 on Windows 8.1 and Windows Server 2012 R2(Windows 8.1 和 Windows Server 2012 R2 上的 .NET Framework 3.5 中包含的 TLS 系统默认版本支持)
安装 KB 更新后,手动配置注册表项。
Windows 10 (Version 1507)
- 此功能不适用于 Windows 10 版本 1507。必须升级到 Windows 10 版本 1511,然后为 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 安装累积更新:2016 年 5 月 10 日,或更新到 Windows 10 版本 1607 或更高版本。
Windows 10 (Version 1511)
为 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 安装累积更新:2016 年 5 月 10 日,请参阅为 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 安装累积更新:2016 年 5 月 10 日。
安装 KB 更新后,手动配置注册表项。
Windows 10 (Version 1607) and Windows Server 2016
没有需要安装的更新。配置 Windows 注册表项,如下所述。
To manually configure the registry keys, do the following:
从 Notepad.exe,创建一个名为 net35-tls12-enable.reg 的文本文件。
复制,然后粘贴以下文本。
For 64-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001For 32-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SystemDefaultTlsVersions"=dword:00000001保存 net35-tls12-enable.reg 文件。
双击 net35-tls12-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
3.6 - 在.NET Framework 3.5 中启用强加密
SchUseStrongCrypto 注册表值限制使用 TLS 的被认为较弱的加密算法的使用,如 RC4。
Microsoft 已为 .NET Framework 3.5 本地 Window 10 操作系统发布了一个可选的安全更新,此更新将自动为你配置 Windows 注册表项。没有适用于 Windows 10 的更新。必须在 Windows 10 上手动配置 Windows 注册表项。
Windows 7 and Windows Server 2008 R2
若要在 Windows 7 和 Windows Server 2008 R2 上的 .NET Framework 3.5.1 中启用强密码。请参阅 KB 文章 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上的 .NET Framework 3.5.1 的安全更新说明:2014 年 5 月 13 日
For Windows Server 2012
若要在 Windows Server 2012 上的 .NET Framework 3.5 中启用强密码。请参阅 KB 文章 Windows 8 和 Windows Server 2012 上的 .NET Framework 3.5 的安全更新说明:2014 年 5 月 13 日
Windows 8.1 and Windows Server 2012 R2
若要在 Windows 8.1 和 Windows Server 2012 R2 上的 .NET Framework 3.5 中启用强密码。请参阅 KB 文章 Windows 8.1 和 Windows Server 2012 R2上的 .NET Framework 3.5 的安全更新说明:2014 年 5 月 13 日
To enable strong cryptography in .NET Framework 3.5 on Windows 10 and Windows Server 2016
从 Notepad.exe,创建一个名为 net35-strong-crypto-enable.reg 的文本文件。
复制,然后粘贴以下文本。
For 64-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001For 32-bit operating system
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001保存 net35-strong-crypto-enable.reg 文件。
双击 net35-strong-crypto-enable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
3.7 - 在 Windows Schannel 中禁用早期版本的 SSL 和 TLS
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
重要
由于这些协议版本中严重的安全漏洞,Microsoft 建议禁用 SSL 2.0 和 SSL 3.0。
客户还可以选择禁用 TLS 1.0 和 TLS 1.1,以确保仅使用最新的协议版本。但是,这可能导致不支持最新 TLS 协议版本的软件兼容性问题。客户应在生产中执行更改前测试此更改。
Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0,则将以默认方式使用该协议版本。如果该值设置为 1,则不会以默认方式使用该协议版本。如果未定义值,则它将使用由操作系统决定的默认值。
在 Windows Schannel 中禁用 SSL 2.0 支持
从 Notepad.exe,创建一个名为 ssl20-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 ssl20-disable.reg 文件。
双击 ssl20-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 SSL 3.0 支持
从 Notepad.exe,创建一个名为 ssl30-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 ssl30-disable.reg 文件。
双击 ssl30-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 TLS 1.0 支持
从 Notepad.exe,创建一个名为 tls10-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 tls10-disable.reg 文件。
双击 tls10-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。
在 Windows Schannel 中禁用 TLS 1.1 支持
从 Notepad.exe,创建一个名为 tls11-disable.reg 的文本文件。
复制,然后粘贴以下文本。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000保存 tls11-disable.reg 文件。
双击 tls11-disable.reg 文件。
单击 Yes 使用这些更改来更新 Windows 注册表。
重新启动计算机,以便使更改生效。