Aktivieren der Unterstützung von TLS 1.1 und TLS 1.2 höher in Office Online Server

Zusammenfassung: In diesem Artikel wird beschrieben, wie Sie tls-Protokollversionen (Transport Layer Security) 1.1 und 1.2 höher in Office Online Server aktivieren.

Um die TLS-Protokollversionen 1.1 und 1.2 höher in Ihrer Office Online Server-Umgebung zu aktivieren, müssen Sie Einstellungen auf jedem Server in Ihrer Office Online Server-Farm konfigurieren.

Der Konfigurationsprozess umfasst das Festlegen einer Reihe von Registrierungsschlüsseln zum Aktivieren oder Deaktivieren von Sicherheitsprotokollen. Sie können diese Updates zwar manuell oder mithilfe einer REG-Datei an der Registrierung vornehmen, es wird jedoch empfohlen, Gruppenrichtlinienobjekte zum Verwalten dieser Einstellungen zu erstellen, insbesondere wenn Sie diese Protokolle in Ihrer Organisation konfigurieren.

In diesem Artikel werden die folgenden grundlegenden Schritte behandelt:

  • Aktivieren Sie starke Kryptografie in .NET Framework.

Hinweis

Ab dem kumulativen Sicherheitsupdate vom Juli 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) ist dieser Schritt nicht erforderlich. Jeder, der diesen Patch anwendet, kann diesen Schritt überspringen.

  • (Optional) Deaktivieren früherer Versionen von SSL und TLS

Hinweis

Die Verwendung von TLS 1.1 und TLS 1.2 und höher mit Office Online Server erfordert, dass TLS 1.1 und TLS 1.2 auf Windows Server für jeden Computer in Ihrer Office Online Server-Farm aktiviert sind. Für Windows Server 2012 R2 sind sie standardmäßig aktiviert.

Führen Sie diese Schritte auf jedem Server in der Office Online Server-Farm aus.

Aktivieren starker Kryptografie in .NET Framework 4.5 oder höher

Hinweis

Ab dem kumulativen Sicherheitsupdate vom Juli 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) ist dieser Schritt nicht erforderlich. Jeder, der diesen Patch anwendet, kann diesen Schritt überspringen.

Die Verwendung von TLS 1.1 und TLS 1.2 mit Office Online Server erfordert eine starke Kryptografie in .NET Framework 4.5 oder höher. Um starke Kryptografie in .NET Framework 4.5 oder höher zu aktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

Microsoft empfiehlt, SSL 2.0 und SSL 3.0 aufgrund von schwerwiegende Sicherheitsrisiken in diesen Protokollversionen zu deaktivieren. > Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Um SSL 2.0-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Um SSL 3.0-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Um TLS 1.0-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Um TLS 1.1-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000