本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

啟用在 SharePoint 2013 中的 TLS 和 SSL 支援

SharePoint 2013
 

適用版本:SharePoint 2013

上次修改主題的時間:2016-10-28

摘要︰本文說明如何啟用傳輸層安全性 (TLS) 通訊協定版本 1.1 及 1.2 sharepoint2013 環境中。

在SharePoint 2013預設不會啟用 TLS 通訊協定 1.1 版和 1.2 版支援。若要讓支援,您必須安裝更新並變更組態設定之後的每個的下列位置:

  1. 在 SharePoint 伺服器陣列中的 SharePoint 伺服器

  2. 在 SharePoint 伺服器陣列中的 Microsoft SQL Server

  3. 存取 SharePoint 網站使用的用戶端電腦

重要事項 重要事項:
若您未更新每個位置,您執行系統失敗的連線到使用 TLS 1.1] 或 [TLS 1.2 彼此的風險。 系統將會改用改為使用較舊的安全性通訊協定;與如果舊的安全性通訊協定會停用,系統可能會失敗完全連線。
範例:SharePoint 伺服器可能無法連線至 SQL Server 資料庫或用戶端電腦可能無法連線至 SharePoint 網站。

下圖顯示三個步驟的程序需要啟用 SharePoint server、 SQL Server 和用戶端電腦上的 TLS 1.1 與 TLS 1.2 支援。

顯示啟用 SharePoint 伺服器上之 TLS 和 SSL 的步驟

請遵循下列步驟來更新您的 SharePoint server。

 

SharePoint server 的步驟 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

-啟用 TLS 1.1] 及 [TLS 1.2 在 Windows Schannel

必要

N/A 

N/A 

-啟用 TLS 1.1 版和 WinHTTP TLS 1.2 版支援

必要

必要

N/A 

-啟用 TLS 1.1 版和 Internet Explorer 中的 TLS 1.2 版支援

必要

必要

N/A 

TLS 1.2 支援 1.4-安裝 SQL Server 2008 R2 原生用戶端更新

必要

必要

必要

-安裝.NET Framework 4.6 或更高

必要

必要

必要

-啟用強式密碼編譯.NET Framework 4.6 或更高

必要

必要

必要

下列步驟會建議使用。雖然沒有直接需要SharePoint 2013,他們可能需要與SharePoint 2013整合其他軟體。

-安裝.NET Framework 3.5 更新 TLS 1.1 和 TLS 1.2 支援

建議使用

建議使用

建議使用

-啟用.NET Framework 3.5 的強式密碼編譯

建議使用

建議使用

建議使用

選用的下列步驟。您可以選擇執行根據貴組織的安全性及規範需求此步驟。

-停用舊版 SSL 和 Windows Schannel 的 TLS

選用

選用

選用


SSL 和 TLS 支援啟用或停用 Windows Schannel 藉由編輯 Windows 登錄。 可啟用或停用單獨各 SSL 與 TLS 通訊協定版本。 您不需要啟用或停用一個通訊協定版本,才能啟用或停用其他通訊協定版本。

Enabled登錄值會定義是否可以使用的通訊協定版本。 如果值設為 0,通訊協定版本不能使用,即使預設會啟用或明確地將應用程式要求的通訊協定版本。 如果值設為 1,如果預設會啟用或應用程式會明確地要求通訊協定版本可使用通訊協定版本。 如果未定義的值,它會使用由作業系統決定預設值。

DisabledByDefault登錄值會定義預設是否會使用通訊協定版本。 此設定僅適用於應用程式不會明確地要求要使用的通訊協定版本。 如果值設為 0 時,要使用預設的通訊協定版本。 如果值設為 1、 通訊協定版本不會使用預設。 如果未定義的值,它會使用預設值由作業系統決定。

To enable TLS 1.1 support in Windows Schannel

  1. 從 Notepad.exe 建立名為tls11-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. 儲存tls11-enable.reg檔案。

  4. 按兩下tls11-enable.reg檔案。

  5. 按一下 [使用這些變更更新您的 Windows 登錄Yes

  6. 重新啟動電腦,變更才會生效。

To enable TLS 1.2 support in Windows Schannel

  1. 從 Notepad.exe,建立名為tls12-enable.reg的文字檔案。

  2. 複製並再貼上下列文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. 儲存tls12-enable.reg檔案。

  4. 按兩下tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

WinHTTP 不會繼承其 SSL 與 TLS 加密通訊協定版本的預設值從 Windows Schannel DisabledByDefault登錄值。 WinHTTP 使用自己 SSL 與 TLS 加密通訊協定版本預設,而異作業系統。 若要覆寫預設值,您必須安裝 KB 更新及設定 Windows 登錄機碼。

WinHTTP DefaultSecureProtocols登錄值是由一起新增到單值接受多個值的位元欄位。 可用於 Windows 計算器程式 (Calc.exe) 設計師] 模式中新增為所需的下列十六進位值。

 

DefaultSecureProtocols 值 描述

0x00000008

依預設啟用 SSL 2.0

0x00000020

依預設啟用 SSL 3.0

0x00000080

依預設啟用 TLS 1.0

0x00000200

依預設啟用 TLS 1.1

0x00000800

啟用預設的 TLS 1.2 版

例如,您可以啟用 TLS 1.0、 TLS 1.1 和 TLS 1.2 依預設新增值 0x00000080、 0x00000200 及搭配至表單的值 0x00000A80 0x00000800。

若要安裝 WinHTTP KB 更新,請遵循指示知識庫文章更新啟用 TLS 1.1 和 WinHTTP Windows 中的預設安全通訊協定為 TLS 1.2

To enable TLS 1.0, TLS 1.1, and TLS 1.2 by default in WinHTTP

  1. 從 Notepad.exe,建立名為winhttp-tls10-tls12-enable.reg的文字檔案。

  2. 複製,然後貼上下列文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. 儲存winhttp-tls10-tls12-enable.reg檔案。

  4. 按兩下winhttp-tls10-tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 您重新啟動電腦,變更才會生效。

預設 Internet Explorer 11 未啟用 TLS 1.1 或 TLS 1.2 先前支援 Internet Explorer 版本。Internet Explorer 11 開頭的預設會啟用 TLS 1.1 與 TLS 1.2 支援。

若要啟用 Internet Explorer 中的 TLS 1.1 與 TLS 1.2 版支援
  1. 從 Internet Explorer 中,按一下 [ Tools > Internet Options > Advanced或按一下 [ 顯示 Internet Explorer 的設定功能表 >Internet Options > Advanced

  2. 在 [ Security ] 區段中,確認的下列核取方塊已選取,若未按一下下列核取方塊:

    • 使用 TLS 1.1

    • 使用 TLS 1.2 版

  3. (選用) 如果您想要停用舊版的安全性通訊協定的支援,取消選取下列核取方塊:

    • 使用 SSL 2.0

    • 使用 SSL 3.0

    • 使用 TLS 1.0

      注意事項 附註:
      停用 TLS 1.0 可能會造成相容性問題與不支援較新的安全性通訊協定版本的網站。客戶應測試執行實際執行前的此變更。
  4. 按一下 [ OK

SQL Server 2008 R2 Native Client 不支援 TLS 1.1 或 TLS 1.2 版的預設值。 您必須安裝 TLS 1.2 支援的 SQL Server 2008 R2 Native Client 更新。

若要安裝 SQL Server 2008 R2 Native Client 更新,請參閱 KB 文章Hotfix 以進行 SQL Server 2008 R2

SharePoint 2013 需要.NET Framework 4.6, .NET Framework 4.6.1、 或.NET Framework 4.6.2 來支援 TLS 1.2 版。 Microsoft 建議安裝的最新的功能及可靠性改良功能的.NET Framework 的最新版本。

若要安裝.NET Framework 4.6.2,請參閱 KB 文章Microsoft.NET Framework for Windows 4.6.2 (網頁 Installer)

若要安裝.NET Framework 4.6.1,請參閱 KB 文章.NET Framework 4.6.1 web installer windows

若要安裝.NET Framework 4.6,請參閱 KB 文章Microsoft.NET Framework 4.6 (Web 安裝程式) 的 Windows

.NET framework 4.6 與更新版本不會繼承其 SSL 與 TLS 加密通訊協定版本的預設值從 Windows Schannel DisabledByDefault登錄值。其改為使用其本身 SSL 與 TLS 加密通訊協定版本的預設值。若要覆寫預設,您必須設定 Windows 登錄機碼。

SchUseStrongCrypto登錄值會變更.NET Framework 4.6 及更高的加密通訊協定版本預設SSL 3.0或 TLS 1.0 TLS 1.0 或 TLS 1.1或 TLS 1.2。此外,它會限制使用與視為例如 RC4 弱式的 TLS 加密演算法。

已編譯.NET Framework 4.6 或更高的應用程式會依照SchUseStrongCrypto登錄值設為 1,即使它不是。若要確保所有.NET Framework 應用程式會都使用強式密碼編譯,您必須設定此 Windows 登錄值。

若要啟用強式密碼編譯.NET Framework 4.6 或更高
  1. 從 Notepad.exe 建立名為net46-strong-crypto-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. 儲存net46-strong-crypto-enable.reg檔案。

  4. 按兩下net46-strong-crypto-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

.NET framework 3.5 不支援 TLS 1.1 或 TLS 1.2 版的預設值。若要新增支援 TLS 1.1 及 TLS 1.2,您必須安裝 KB 更新,並手動設定 Windows 登錄機碼。

SharePoint 2013 建置在.NET Framework 4.x 並不會使用.NET Framework 3.5。 不過,某些必要元件和 sharepoint2013 與整合協力廠商軟體可能會使用.NET Framework 3.5。 Microsoft 建議安裝及設定以改善與 TLS 1.2 的相容性此更新。

SystemDefaultTlsVersions登錄值會定義安全性通訊協定版本的預設值會使用.NET Framework 3.5。如果值設為 0,.NET Framework 3.5 都會預設為SSL 3.0 or TLS 1.0。如果值設為 1,.NET Framework 3.5 會繼承其預設值從 Windows Schannel DisabledByDefault登錄值。如果值是未定義,它會依照此值設為 0。

For Windows Server 2008 R2

  1. 若要安裝 Windows Server 2008 R2 的.NET Framework 3.5.1 更新,請參閱 KB 文章中.NET Framework 3.5.1 在 Windows 7 SP1 和 Server 2008 R2 SP1 包含支援 TLS 系統預設版本

  2. KB 更新已安裝之後,手動設定的登錄機碼。

For Windows Server 2012

  1. 若要安裝 Windows Server 2012 的.NET Framework 3.5 更新,請參閱 KB 文章支援 TLS 系統預設版本包含在 Windows Server 2012 上.NET Framework 3.5

  2. KB 更新已安裝之後,手動設定的登錄機碼。

For Windows Server 2012 R2

  1. 若要安裝 Windows Server 2012 R2.NET Framework 3.5 SP1 更新,請參閱 KB 文章支援 TLS 系統預設版本包含在 Windows 8.1 和 Windows Server 2012 R2.NET Framework 3.5

  2. KB 更新已安裝之後,手動設定的登錄機碼。

To manually configure the registry keys, do the following:

  1. 從 Notepad.exe 建立名為net35-tls12-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. 儲存net35-tls12-enable.reg檔案。

  4. 按兩下net35-tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

SchUseStrongCrypto登錄值會限制使用與視為例如 RC4 弱式的 TLS 加密演算法。

Microsoft 已發行的選擇性的安全性更新的.NET Framework 3.5,會自動設定為您的 Windows 登錄機碼。

Windows Server 2008 R2

若要啟用 Windows Server 2008 R2 上的.NET framework 3.5.1 強式密碼編譯,請參閱 KB 文章.NET Framework 3.5.1 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上的安全性更新描述: 2014 年 5 月 13 日

Windows Server 2012

若要啟用 Windows Server 2012 上的.NET Framework 3.5 的強式密碼編譯,請參閱 KB 文章.NET Framework 3.5 Windows 8 和 Windows Server 2012 上的安全性更新描述: 2014 年 5 月 13 日

Windows Server 2012 R2

若要啟用 Windows Server 2012 R2 上的.NET Framework 3.5 的強式密碼編譯請參閱 KB 文章.NET Framework 3.5 Windows 8.1 和 Windows Server 2012 R2 上的安全性更新描述: 2014 年 5 月 13 日

SSL 和 TLS 支援啟用或停用 Windows Schannel 藉由編輯 Windows 登錄。可啟用或停用單獨各 SSL 與 TLS 通訊協定版本。您不需要啟用或停用一個通訊協定版本,才能啟用或停用其他通訊協定版本。

重要事項 重要事項:
Microsoft 建議因為嚴重的安全性漏洞這些通訊協定版本中停用 SSL 2.0 和 SSL 3.0。
客戶也可能會選擇停用 TLS 1.0 與 TLS 1.1 確保用於最新通訊協定版本。但是,這可能會造成的相容性問題與不支援的最新 TLS 通訊協定版本的軟體。客戶應測試執行在實際執行前的這類的變更。

Enabled登錄值會定義是否可以使用的通訊協定版本。如果值設為 0,通訊協定版本不能使用,即使預設會啟用或明確地將應用程式要求的通訊協定版本。如果值設為 1,如果預設會啟用或應用程式會明確地要求通訊協定版本可使用通訊協定版本。如果未定義的值,它會使用由作業系統決定預設值。

DisabledByDefault登錄值會定義預設是否會使用通訊協定版本。此設定僅適用於應用程式不會明確地要求要使用的通訊協定版本。如果值設為 0 時,要使用預設的通訊協定版本。如果值設為 1、 通訊協定版本不會使用預設。如果未定義的值,它會使用由作業系統決定預設值。

若要停用 Windows Schannel SSL 2.0 支援
  1. 從 Notepad.exe 建立名為ssl20-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存ssl20-disable.reg檔案。

  4. 按兩下ssl20-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用 Windows Schannel SSL 3.0 支援
  1. 從 Notepad.exe 建立名為ssl30-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存ssl30-disable.reg檔案。

  4. 按兩下ssl30-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用的 Windows Schannel TLS 1.0 版支援
  1. 從 Notepad.exe 建立名為tls10-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    

  3. 儲存tls10-disable.reg檔案。

  4. 按兩下tls10-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用 Windows Schannel TLS 1.1 支援
  1. 從 Notepad.exe 建立名為tls11-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    

  3. 儲存tls11-disable.reg檔案。

  4. 按兩下tls11-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

遵循這些步驟來更新您的 SharePoint 伺服器陣列中 SQL 伺服器。

 

步驟 SQL 伺服器的 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

-啟用 TLS 1.1] 及 [TLS 1.2 在 Windows Schannel

必要

N/A 

N/A 

-啟用 TLS 1.1 版和 Microsoft SQL Server 中的 TLS 1.2 版支援

必要

必要

必要

選用的下列步驟。執行此步驟視您的組織安全性及規範需求而定。

-停用舊版 SSL 和 Windows Schannel 的 TLS

選用

選用

選用


SSL 和 TLS 支援啟用或停用 Windows Schannel 藉由編輯 Windows 登錄。可啟用或停用單獨各 SSL 與 TLS 通訊協定版本。您不需要啟用或停用一個通訊協定版本,才能啟用或停用其他通訊協定版本。

Enabled登錄值會定義是否可以使用的通訊協定版本。如果值設為 0,通訊協定版本不能使用,即使預設會啟用或明確地將應用程式要求的通訊協定版本。如果值設為 1,如果預設會啟用或應用程式會明確地要求通訊協定版本可使用通訊協定版本。如果未定義的值,它會使用由作業系統決定預設值。

DisabledByDefault登錄值會定義預設是否會使用通訊協定版本。此設定僅適用於應用程式不會明確地要求要使用的通訊協定版本。如果值設為 0 時,要使用預設的通訊協定版本。如果值設為 1、 通訊協定版本不會使用預設。如果未定義的值,它會使用由作業系統決定預設值。

若要啟用的 Windows Schannel TLS 1.1 版支援
  1. 從 Notepad.exe 建立名為tls11-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. 儲存tls11-enable.reg檔案。

  4. 按兩下tls11-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要啟用 Windows Schannel 中的支援 TLS 1.2 版
  1. 從 Notepad.exe 建立名為tls12-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    

  3. 儲存tls12-enable.reg檔案。

  4. 按兩下tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

SQL Server 版本早於 SQL Server 2016 不支援 TLS 1.1 或 TLS 1.2 預設。若要新增支援 TLS 1.1 及 TLS 1.2,您必須在 SQL server 安裝更新。

若要啟用 TLS 1.1 和 SQL Server 中的 TLS 1.2 支援,請遵循指示知識庫文章TLS 1.2 支援 Microsoft SQL Server 的

SSL 和 TLS 支援啟用或停用 Windows Schannel 藉由編輯 Windows 登錄。可啟用或停用單獨各 SSL 與 TLS 通訊協定版本。您不需要啟用或停用一個通訊協定版本,才能啟用或停用其他通訊協定版本。

重要事項 重要事項:
Microsoft 建議因為嚴重的安全性漏洞這些通訊協定版本中停用 SSL 2.0 和 SSL 3.0。
客戶也可能會選擇停用 TLS 1.0 與 TLS 1.1 確保用於最新通訊協定版本。但是,這可能會造成的相容性問題與不支援的最新 TLS 通訊協定版本的軟體。客戶應測試執行在實際執行前的這類的變更。

Enabled登錄值會定義是否可以使用的通訊協定版本。如果值設為 0,通訊協定版本不能使用,即使預設會啟用或明確地將應用程式要求的通訊協定版本。如果值設為 1,如果預設會啟用或應用程式會明確地要求通訊協定版本可使用通訊協定版本。如果未定義的值,它會使用由作業系統決定預設值。

DisabledByDefault登錄值會定義預設是否會使用通訊協定版本。此設定僅適用於應用程式不會明確地要求要使用的通訊協定版本。如果值設為 0 時,要使用預設的通訊協定版本。如果值設為 1、 通訊協定版本不會使用預設。如果未定義的值,它會使用由作業系統決定預設值。

若要停用 Windows Schannel SSL 2.0 支援
  1. 從 Notepad.exe 建立名為ssl20-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存ssl20-disable.reg檔案。

  4. 按兩下ssl20-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用 Windows Schannel SSL 3.0 支援
  1. 從 Notepad.exe 建立名為ssl30-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存ssl30-disable.reg檔案。

  4. 按兩下ssl30-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用的 Windows Schannel TLS 1.0 版支援
  1. 從 Notepad.exe 建立名為tls10-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存tls10-disable.reg檔案。

  4. 按兩下tls10-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用 Windows Schannel TLS 1.1 支援
  1. 從 Notepad.exe 建立名為tls11-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存tls11-disable.reg檔案。

  4. 按兩下tls11-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

請遵循下列步驟來更新您存取 SharePoint 網站的用戶端電腦。

 

用戶端電腦的步驟 Windows 7 Windows 8.1 Windows 10

-啟用 TLS 1.1] 及 [TLS 1.2 在 Windows Schannel

必要

N/A 

N/A 

啟用 TLS 1.1 TLS 1.2 的和支援 WinHTTP

必要

N/A 

N/A 

-啟用 TLS 1.1 版和 Internet Explorer 中的 TLS 1.2 版支援

必要

N/A 

N/A 

-啟用強式密碼編譯.NET Framework 4.5 或更高

必要

必要

必要

-安裝.NET Framework 3.5 更新 TLS 1.1 和 TLS 1.2 支援

必要

必要

必要

下一個步驟是建議使用。雖然沒有直接SharePoint 2013所需,它們提供更佳的安全性限制弱式加密演算法的使用。

-啟用強式密碼編譯.NET Framework 3.5 的

建議使用

建議使用

建議使用

選用的下列步驟。您可以選擇執行根據貴組織的安全性及規範需求此步驟。

-停用舊版 SSL 和 Windows Schannel 的 TLS

選用

選用

選用


SSL 和 TLS 支援啟用或停用 Windows Schannel 藉由編輯 Windows 登錄。可啟用或停用單獨各 SSL 與 TLS 通訊協定版本。您不需要啟用或停用一個通訊協定版本,才能啟用或停用其他通訊協定版本。

Enabled登錄值會定義是否可以使用的通訊協定版本。如果值設為 0,通訊協定版本不能使用,即使預設會啟用或明確地將應用程式要求的通訊協定版本。如果值設為 1,如果預設會啟用或應用程式會明確地要求通訊協定版本可使用通訊協定版本。如果未定義的值,它會使用由作業系統決定預設值。

DisabledByDefault登錄值會定義預設是否會使用通訊協定版本。此設定僅適用於應用程式不會明確地要求要使用的通訊協定版本。如果值設為 0 時,要使用預設的通訊協定版本。如果值設為 1、 通訊協定版本不會使用預設。如果未定義的值,它會使用由作業系統決定預設值。

若要啟用 Windows Schannel 中的支援 TLS 1.1
  1. 從 Notepad.exe 建立名為tls11-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. 儲存tls11-enable.reg檔案。

  4. 按兩下tls11-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要啟用 Windows Schannel 中的支援 TLS 1.2 版
  1. 從 Notepad.exe 建立名為tls12-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    

  3. 儲存tls12-enable.reg檔案。

  4. 按兩下tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

WinHTTP 不會繼承其 SSL 與 TLS 加密通訊協定版本預設的 Windows Schannel DisabledByDefault登錄值。WinHTTP 使用自己 SSL 與 TLS 加密通訊協定版本預設,而異作業系統。若要覆寫預設值,您必須安裝 KB 更新及設定 Windows 登錄機碼。

WinHTTP DefaultSecureProtocols登錄值是由一起新增到單一值接受多個值的位元欄位。可用於 Windows 計算器程式 (Calc.exe) 設計師] 模式中新增為所需的下列十六進位值。


 

DefaultSecureProtocols 值 描述

0x00000008

依預設啟用 SSL 2.0

0x00000020

依預設啟用 SSL 3.0

0x00000080

依預設啟用 TLS 1.0

0x00000200

依預設啟用 TLS 1.1

0x00000800

啟用預設的 TLS 1.2 版

例如,您可以啟用 TLS 1.0、 TLS 1.1 和 TLS 1.2 依預設新增值 0x00000080、 0x00000200 及搭配至表單的值 0x00000A80 0x00000800。

若要安裝 WinHTTP KB 更新,請遵循指示知識庫文章更新啟用 TLS 1.1 和 WinHTTP Windows 中的預設安全通訊協定為 TLS 1.2

WinHTTP 中依預設啟用 TLS 1.0、 TLS 1.1 及 TLS 1.2 版
  1. 從 Notepad.exe 建立名為winhttp-tls10-tls12-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    

    For 32-bit operating system

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. 儲存winhttp-tls10-tls12-enable.reg檔案。

  4. 按兩下winhttp-tls10-tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

預設 Internet Explorer 11 未啟用 TLS 1.1 或 TLS 1.2 先前支援 Internet Explorer 版本。Internet Explorer 11 開頭的預設會啟用 TLS 1.1 與 TLS 1.2 支援。

若要啟用 Internet Explorer 中的 TLS 1.1 與 TLS 1.2 版支援
  1. 從 Internet Explorer 中,按一下 [ Tools > Internet Options > Advanced或按一下 [ 顯示 Internet Explorer 的設定功能表 >Internet Options > Advanced

  2. Security區段中,請確認已選取下列核取方塊。如果沒有,按一下下列核取方塊:

    • 使用 TLS 1.1

    • 使用 TLS 1.2 版

  3. (選用) 如果您想要停用舊版的安全性通訊協定的支援,取消選取下列核取方塊:

    • 使用 SSL 2.0

    • 使用 SSL 3.0

    • 使用 TLS 1.0

      注意事項 附註:
      停用 TLS 1.0 可能會造成相容性問題與不支援較新的安全性通訊協定版本的網站。客戶應測試執行實際執行前的此變更。
  4. 按一下 [ OK

.NET framework 4.5 和更高不會繼承其 SSL 與 TLS 加密通訊協定版本的預設值從 Windows Schannel DisabledByDefault登錄值。其改為使用其本身 SSL 與 TLS 加密通訊協定版本的預設值。若要覆寫預設,您必須設定 Windows 登錄機碼。

SchUseStrongCrypto登錄值會變更.NET Framework 4.5 及更高的安全性通訊協定版本預設SSL 3.0或 TLS 1.0 TLS 1.0 或 TLS 1.1或 TLS 1.2。此外,它會限制使用與視為例如 RC4 弱式的 TLS 加密演算法。

已編譯.NET Framework 4.6 或更高的應用程式會依照SchUseStrongCrypto登錄值設為 1,即使它不是。若要確保所有.NET Framework 應用程式會都使用強式密碼編譯,您必須設定此 Windows 登錄值。

Microsoft 已為您發行.NET Framework 4.5 4.5.1,且會自動設定 Windows 登錄的 4.5.2 機碼的選用的安全性更新。未更新為可用的.NET Framework 4.6 或更高。您必須手動設定 Windows 登錄機碼上.NET Framework 4.6 或更高。

For Windows 7 and Windows Server 2008 R2

若要啟用強式密碼編譯.NET Framework 4.5 和 Windows 7 和 Windows Server 2008 R2 上的 4.5.1,請參閱 KB 文章for.NET Framework 4.5 和 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上.NET Framework 4.5.1 的安全性更新描述: 2014 年 5 月 13 日

若要啟用強式密碼編譯.NET Framework 4.5.2 Windows 7 和 Windows Server 2008 R2 中的,請參閱 KB 文章的.NET Framework 4.5.2 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 上的安全性更新說明: 2014 年 5 月 13 日

For Windows Server 2012

若要啟用的.NET Framework 4.5 的強式密碼編譯,4.5.1 和 4.5.2 在 Windows Server 2012,請參閱 KB 文章.NET Framework 4.5, .NET Framework 4.5.1,和.NET Framework 4.5.2 Windows 8、 Windows RT 和 Windows Server 2012 的安全性更新描述: 2014 年 5 月 13 日

Windows 8.1 and Windows Server 2012 R2

若要啟用強式密碼編譯.NET Framework 4.5.1 和 4.5.2 Windows 8.1 和 Windows Server 2012 R2 中的,請參閱 KB 文章for.NET Framework 4.5.1 和.NET Framework 4.5.2 Windows 8.1、 Windows RT 8.1 及 Windows Server 2012 R2 上的安全性更新描述: 2014 年 5 月 13 日

若要啟用強式密碼編譯.NET Framework 4.6 或更高
  1. 從 Notepad.exe 建立名為net46-strong-crypto-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. 儲存net46-strong-crypto-enable.reg檔案。

  4. 按兩下net46-strong-crypto-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

.NET framework 3.5 不支援 TLS 1.1 或 TLS 1.2 版的預設值。若要新增支援 TLS 1.1 及 TLS 1.2,您必須安裝 KB update 及則手動設定 Windows 登錄機碼的每個本節所列的作業系統。

SystemDefaultTlsVersions登錄值會定義安全性通訊協定版本的預設值會使用.NET Framework 3.5。如果值設為 0,.NET Framework 3.5 都會預設為SSL 3.0 or TLS 1.0。如果值設為 1,.NET Framework 3.5 會繼承其預設值從 Windows Schannel DisabledByDefault登錄值。如果值是未定義,它會依照此值設為 0。

啟用以從 Windows 繼承其加密通訊協定預設值的.NET Framework 3.5

Windows 7 and Windows Server 2008 R2

  1. 若要安裝 Windows 7 和 Windows Server 2008 R2.NET Framework 3.5.1 更新,請參閱知識庫文章中.NET Framework 3.5.1 在 Windows 7 SP1 和 Server 2008 R2 SP1 包含支援 TLS 系統預設版本

  2. KB 更新已安裝之後,手動設定的登錄機碼。

For Windows Server 2012

  1. 若要安裝 Windows Server 2012 的.NET Framework 3.5 更新,請參閱 KB 文章支援 TLS 系統預設版本包含在 Windows Server 2012 上.NET Framework 3.5

  2. KB 更新已安裝之後,手動設定的登錄機碼。

Windows 8.1 and Windows Server 2012 R2

  1. 若要安裝 Windows 8.1 和 Windows Server 2012 R2.NET Framework 3.5 SP1 更新,請參閱 KB 文章支援 TLS 系統預設版本併入.NET Framework 3.5 Windows 8.1 和 Windows Server 2012 R2 上

  2. KB 更新已安裝之後,手動設定的登錄機碼。

Windows 10 (Version 1507)

Windows 10 (Version 1511)

  1. 若要安裝的累計更新的 Windows 10 版 1511年和 Windows Server 2016 Technical Preview 4: 2016 年 5 月 10,查看累計更新的 Windows 10 版 1511年和 Windows Server 2016 Technical Preview 4: 2016 年 5 月 10,

  2. KB 更新已安裝之後,手動設定的登錄機碼。

Windows 10 (Version 1607) and Windows Server 2016

不需要安裝任何更新。設定 Windows 登錄機碼如下所示。

To manually configure the registry keys, do the following:

  1. 從 Notepad.exe 建立名為net35-tls12-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. 儲存net35-tls12-enable.reg檔案。

  4. 按兩下net35-tls12-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

SchUseStrongCrypto登錄值會限制使用與視為例如 RC4 弱式的 TLS 加密演算法。

Microsoft 已發行的.NET Framework 3.5 選用的安全性更新前 10 個在 Windows 作業系統上,會自動設定為您的 Windows 登錄機碼。未更新可用的 Windows 10。您必須在 Windows 10 手動設定 Windows 登錄機碼。

Windows 7 and Windows Server 2008 R2

若要啟用 Windows 7 和 Windows Server 2008 R2.NET framework 3.5.1 強式密碼編譯,請參閱 KB 文章在 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 的.NET framework 3.5.1 的安全性更新描述: 2014 年 5 月 13 日

For Windows Server 2012

若要啟用 Windows Server 2012 上的.NET Framework 3.5 的強式密碼編譯,請參閱 KB 文章.NET Framework 3.5 Windows 8 和 Windows Server 2012 上的安全性更新描述: 2014 年 5 月 13 日

Windows 8.1 and Windows Server 2012 R2

若要啟用強式密碼編譯.NET Framework 3.5 的 Windows 8.1 及 Windows Server 2012 R2 限請參閱 KB 文章的.NET Framework 3.5 Windows 8.1 及 Windows Server 2012 R2 上的安全性更新描述: 2014 年 5 月 13 日

To enable strong cryptography in .NET Framework 3.5 on Windows 10 and Windows Server 2016

  1. 從 Notepad.exe 建立名為net35-strong-crypto-enable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
  3. 儲存net35-strong-crypto-enable.reg檔案。

  4. 按兩下net35-strong-crypto-enable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

SSL 和 TLS 支援啟用或停用 Windows Schannel 藉由編輯 Windows 登錄。可啟用或停用單獨各 SSL 與 TLS 通訊協定版本。您不需要啟用或停用一個通訊協定版本,才能啟用或停用其他通訊協定版本。

重要事項 重要事項:
Microsoft 建議因為嚴重的安全性漏洞這些通訊協定版本中停用 SSL 2.0 和 SSL 3.0。
客戶也可能會選擇停用 TLS 1.0 與 TLS 1.1 確保用於最新通訊協定版本。但是,這可能會造成的相容性問題與不支援的最新 TLS 通訊協定版本的軟體。客戶應測試執行在實際執行前的這類的變更。

Enabled登錄值會定義是否可以使用的通訊協定版本。如果值設為 0,通訊協定版本不能使用,即使預設會啟用或明確地將應用程式要求的通訊協定版本。如果值設為 1,如果預設會啟用或應用程式會明確地要求通訊協定版本可使用通訊協定版本。如果未定義的值,它會使用由作業系統決定預設值。

DisabledByDefault登錄值會定義預設是否會使用通訊協定版本。此設定僅適用於應用程式不會明確地要求要使用的通訊協定版本。如果值設為 0 時,要使用預設的通訊協定版本。如果值設為 1、 通訊協定版本不會使用預設。如果未定義的值,它會使用由作業系統決定預設值。

若要停用 Windows Schannel SSL 2.0 支援
  1. 從 Notepad.exe 建立名為ssl20-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存ssl20-disable.reg檔案。

  4. 按兩下ssl20-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用 Windows Schannel SSL 3.0 支援
  1. 從 Notepad.exe 建立名為ssl30-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存ssl30-disable.reg檔案。

  4. 按兩下ssl30-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用的 Windows Schannel TLS 1.0 版支援
  1. 從 Notepad.exe 建立名為tls10-disable.reg 的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    

  3. 儲存tls10-disable.reg 檔案。

  4. 按兩下tls10-disable.reg 檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

若要停用 Windows Schannel TLS 1.1 支援
  1. 從 Notepad.exe 建立名為tls11-disable.reg的文字檔案。

  2. 複製與然後貼上下列的文字。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. 儲存tls11-disable.reg檔案。

  4. 按兩下tls11-disable.reg檔案。

  5. 按一下 [Windows 登錄的變更來更新這些Yes

  6. 重新啟動電腦,變更才會生效。

https://technet.microsoft.com/zh-tw/library/hh377941.aspx
顯示: