Freigeben über


Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in SharePoint Server 2019

GILT FÜR:no-img-132013 no-img-162016 yes-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

SharePoint Server 2019 unterstützt standardmäßig die TLS-Protokollversionen 1.0, 1.1 und 1.2. Um jedoch die End-to-End-Unterstützung für die TLS-Protokollversionen 1.1 und 1.2 in Ihrer SharePoint 2019-Umgebung zu aktivieren, müssen Sie möglicherweise Updates installieren oder Konfigurationseinstellungen an den folgenden Speicherorten ändern:

  1. SharePoint-Server in der SharePoint-Farm

  2. Microsoft SQL-Server in der SharePoint-Farm

  3. Clientcomputer, die für den Zugriff auf Ihre SharePoint-Websites verwendet werden

Wichtig

Wenn Sie nicht jeden dieser Speicherorte aktualisieren, besteht das Risiko, dass Systeme nicht über TLS 1.1 oder TLS 1.2 eine Verbindung miteinander herstellen können. Die Systeme greifen stattdessen auf ein älteres Sicherheitsprotokoll zurück. und wenn die älteren Sicherheitsprotokolle deaktiviert sind, können die Systeme möglicherweise keine vollständige Verbindung herstellen.

Beispiel: Clientcomputer können möglicherweise keine Verbindung mit Ihren SharePoint-Websites herstellen.

Zusammenfassung des Updatevorgangs

In der folgenden Abbildung sind die drei Schritte des Updatevorgangs dargestellt, die zum Aktivieren der Unterstützung für TLS 1.1 und TLS 1.2 auf Ihren SharePoint-Servern, SQL-Servern und Clientcomputern erforderlich sind.

Die drei Schritte zum Aktualisieren der Server in der SharePoint-Farm, auf Microsoft SQL Server und auf Clientcomputern.

Schritt 1: Aktualisieren der SharePoint-Server in der SharePoint-Farm

SharePoint Server 2019 unterstützt standardmäßig die TLS-Protokollversionen 1.0, 1.1 und 1.2. Es sind keine Änderungen an den SharePoint-Servern in Ihrer Farm erforderlich, um tls 1.1- oder TLS 1.2-Unterstützung zu aktivieren. Führen Sie diesen Schritt aus, um Ihren SharePoint-Server zu aktualisieren, wenn Sie bestimmte TLS-Protokollversionen deaktivieren möchten.

Schritte für SharePoint Server Windows Server 2016 Windows Server 2019
Der folgende Schritt ist optional. Sie können diesen Schritt je nach Sicherheits- und Complianceanforderungen Ihrer Organisation optional ausführen.
1.0 – Deaktivieren früherer Versionen von TLS in Windows Schannel
Optional
Optional

1.0 – Deaktivieren früherer Versionen von TLS in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

SSL 2.0 und SSL 3.0 sind in Windows Server 2016 und Windows Server 2019 aufgrund schwerwiegender Sicherheitsrisiken in diesen Protokollversionen standardmäßig deaktiviert.

Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So deaktivieren Sie die TLS 1.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls10-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls10-disable.reg -Datei.

  4. Doppelklicken Sie auf tls10-disable.reg.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls11-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

Schritt 2: Aktualisieren von Microsoft SQL-Servern in der SharePoint-Farm

SQL Server 2016 und SQL Server 2017 unterstützen unter Windows Server 2016 und Windows Server 2019 standardmäßig die TLS-Protokollversionen 1.0, 1.1 und 1.2. Es sind keine Änderungen an den SQL-Servern in Ihrer SharePoint-Farm erforderlich, um tls 1.1- oder TLS 1.2-Unterstützung zu aktivieren. Weitere Informationen zur TLS-Unterstützung in SQL Server finden Sie im KB-Artikel TLS 1.2-Unterstützung für Microsoft SQL Server.

Führen Sie diesen Schritt aus, um die SQL Server in Ihrer SharePoint-Farm zu aktualisieren, wenn Sie bestimmte TLS-Protokollversionen deaktivieren möchten.

Schritte für die SQL-Server Windows Server 2016 Windows Server 2019
Der folgende Schritt ist optional. Sie können diesen Schritt je nach Sicherheits- und Complianceanforderungen Ihrer Organisation optional ausführen.
2.1 – Deaktivieren früherer Versionen von TLS in Windows Schannel
Optional
Optional

2.1 – Deaktivieren früherer Versionen von TLS in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

SSL 2.0 und SSL 3.0 sind in Windows Server 2016 und Windows Server 2019 aufgrund schwerwiegender Sicherheitsrisiken in diesen Protokollversionen standardmäßig deaktiviert.

Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So deaktivieren Sie die TLS 1.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls10-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls10-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls10-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls11-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

Schritt 3: Aktualisieren der Clientcomputer, die für den Zugriff auf SharePoint-Websites verwendet werden

Führen Sie diese Schritte aus, um die Clientcomputer zu aktualisieren, die auf die SharePoint-Website zugreifen.

Schritte für die Clientcomputer Windows 7 Windows 8.1 Windows 10
3.1 - Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel
Erforderlich
Nicht zutreffend
Nicht zutreffend
3.2 - Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in WinHTTP
Erforderlich
Nicht zutreffend
Nicht zutreffend
3.3 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer
Erforderlich
Nicht zutreffend
Nicht zutreffend
3.4 – Aktivieren starker Kryptografie in .NET Framework 4.5 oder höher
Erforderlich
Erforderlich
Erforderlich
3.5 – Installation des .NET Framework 3.5-Updates zur Unterstützung von TLS 1.1 und TLS 1.2
Erforderlich
Erforderlich
Erforderlich
Der folgende Schritt wird empfohlen. Obwohl sharePoint Server 2019 nicht direkt erforderlich ist, bieten sie eine bessere Sicherheit, indem sie die Verwendung schwacher Verschlüsselungsalgorithmen einschränken.
3.6 – Aktivieren starker Kryptografie in .NET Framework 3.5
Empfohlen
Empfohlen
Empfohlen
Der folgende Schritt ist optional. Sie können diesen Schritt je nach Sicherheits- und Complianceanforderungen Ihrer Organisation optional ausführen.
3.7 – Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel
Optional
Optional
Optional

3.1 – Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So aktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls11-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So aktivieren Sie die TLS 1.2-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.2 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in WinHTTP

WinHTTP erbt die Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion nicht vom DisabledByDefault-Registrierungswert von Windows Schannel. WinHTTP verwendet eigene Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion, die je nach Betriebssystem variieren können. Um die Standardeinstellungen außer Kraft zu setzen, müssen Sie ein KB-Update installieren und die Windows-Registrierungsschlüssel konfigurieren.

Der DefaultSecureProtocols -Registrierungswert von WinHTTP ist ein Bitfeld, für das mehrere Werte zulässig sind, indem diese addiert werden. Sie können nach Bedarf das Programm „Windows-Rechner" (Calc.exe) im Programmiermodus zum Addieren der folgenden Hexadezimalwerte verwenden.

DefaultSecureProtocols-Wert Beschreibung
0x00000008
SSL 2.0 standardmäßig aktivieren
0x00000020
SSL 3.0 standardmäßig aktivieren
0x00000080
TLS 1.0 standardmäßig aktivieren
0x00000200
TLS 1.1 standardmäßig aktivieren
0x00000800
TLS 1.2 standardmäßig aktivieren

Sie können beispielsweise TLS 1.0, TLS 1.1 und TLS 1.2 standardmäßig aktivieren, indem Sie die Werte 0x00000080, 0x00000200 und 0x00000800 addieren, sodass der Wert 0x00000A80 lautet.

Befolgen Sie zum Installieren des WinHTTP KB-Update die Anweisungen in dem KB-Artikel Update zum Aktivieren von TLS 1.1 und TLS 1.2 als standardmäßige sichere Protokolle in WinHTTP in Windows

So aktivieren Sie TLS 1.0, TLS 1.1 und TLS 1.2 standardmäßig in WinHTTP

  1. Erstellen Sie im Editor eine Textdatei namens winhttp-tls10-tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Speichern Sie die winhttp-tls10-tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die winhttp-tls10-tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.3 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer

In älteren Internet Explorer-Versionen als Internet Explorer 11 wurde TLS 1.1- oder TLS 1.2-Unterstützung standardmäßig nicht aktiviert. Unterstützung für TLS 1.1 und TLS 1.2 wurde standardmäßig ab Version Internet Explorer 11 aktiviert.

So aktivieren Sie die TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer

  1. Klicken Sie in Internet Explorer auf Extras>Internetoptionen>Erweitert oder im Menü Internet Explorer>Internetoptionen>Erweitert auf Einstellungen.

  2. Stellen Sie im Abschnitt Security sicher, dass die folgenden Kontrollkästchen aktiviert sind. Falls dies nicht der Fall ist, aktivieren Sie die folgenden Kontrollkästchen:

  • TLS 1.1 verwenden

  • TLS 1.2 verwenden

  1. Wenn Sie die Unterstützung für frühere Versionen des Sicherheitsprotokolls deaktivieren möchten, können Sie optional die folgenden Kontrollkästchen deaktivieren:
  • SSL 2.0 verwenden

  • SSL 3.0 verwenden

  • TLS 1.0 verwenden

    Hinweis

    Beim Deaktivieren von TLS 1.0 treten möglicherweise bei Websites, die neuere Sicherheitsprotokollversionen nicht unterstützten, Kompatibilitätsprobleme auf. Benutzer sollten diese Änderung testen, bevor Sie diese in Produktion verwenden.

  1. Klicken Sie auf OK.

3.4 – Aktivieren starker Kryptografie in .NET Framework 4.5 oder höher

.NET Framework 4.5 oder höher erbt nicht die Standardwerte für die SSL und TLS-Sicherheitsprotokollversion vom DisabledByDefault -Registrierungswert von Windows Schannel. Stattdessen verwendet .NET Framework eigene Standardwerte für die SSL und TLS-Sicherheitsprotokollversion. Um die Standardeinstellungen außer Kraft zu setzen, müssen Sie die Windows-Registrierungsschlüssel konfigurieren.

Der SchUseStrongCrypto-Registrierungswert ändert die Standardeinstellung für die Verschlüsselungsprotokollversion für .NET Framework 4.5 oder höher von SSL 3.0 oder TLS 1.0 zu TLS 1.0 oder TLS 1.1 oder TLS 1.2. Darüber hinaus wird mit diesem die Verwendung von Verschlüsselungsalgorithmen mit TLS eingeschränkt, die als schwach angesehen werden wie z. B. RC4.

Für .NET Framework 4.6 oder höher kompilierte Anwendungen verhalten sich wie beim SchUseStrongCrypto -Registrierungswert „1", selbst wenn dieser nicht auf 1 festgelegt ist. Um sicherzustellen, dass alle .NET Framework-Clientanwendungen starke Kryptografie verwenden, müssen Sie diesen Windows-Registrierungswert konfigurieren.

Microsoft hat ein optionales Sicherheitsupdate für .NET Framework 4.5, 4.5.1 und 4.5.2 veröffentlicht, mit dem die Windows-Registrierungsschlüssel automatisch konfiguriert werden. Es sind keine Updates für .NET Framework 4.6 oder höher verfügbar. Sie müssen die Windows-Registrierungsschlüssel manuell für NET Framework 4.6 oder höher konfigurieren.

For Windows 7 and Windows Server 2008 R2

For Windows Server 2012

For Windows 8.1 and Windows Server 2012 R2

So aktivieren Sie starke Kryptografie in .NET Framework 4.6 oder höher

  1. Erstellen Sie im Editor eine Textdatei namens net46-strong-crypto-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern Sie die net46-strong-crypto-enable.reg -Datei.

  4. Doppelklicken Sie auf die net46-strong-crypto-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.5 – Installation des .NET Framework 3.5-Updates zur Unterstützung von TLS 1.1 und TLS 1.2

.NET Framework 3.5 bietet standardmäßig keine TLS 1.1- und TLS 1.2-Unterstützung. Um Unterstützung für TLS 1.1 und TLS 1.2 hinzuzufügen, müssen Sie ein KB-Update installieren und die Windows-Registrierungsschlüssel für jedes in diesem Abschnitt aufgeführte Betriebssystem konfigurieren.

Der SystemDefaultTlsVersions -Registrierungswert definiert die Standardeinstellungen für die Sicherheitsprotokollversion, die standardmäßig von .NET Framework 3.5 verwendet werden. Wenn der Wert auf 0 festgelegt ist, verwendet .NET Framework 3.5 standardmäßig SSL 3.0 or TLS 1.0. Wenn der Wert auf 1 festgelegt ist, erbt .NET Framework 3.5 die Standardeinstellungen von den DisabledByDefault -Registrierungswerten für Windows Schannel. Wenn der Wert nicht definiert ist, verhält sich .NET Frameword wie beim Wert „0".

So aktivieren Sie .NET Framework 3.5 für das Erben der Standardeinstellungen für das Verschlüsselungsprotokoll von Windows Schannel

For Windows 7 and Windows Server 2008 R2

  1. Informationen zur Installation des .NET Framework 3.5.1-Updates für Windows 7 und Windows Server 2008 R2 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5.1 unter Windows 7 SP1 und Windows Server 2008 R2 SP1

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

For Windows Server 2012

  1. Informationen zur Installation des .NET Framework 3.5-Updates für Windows Server 2012 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5 unter Windows Server 2012

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

For Windows 8.1 and Windows Server 2012 R2

  1. Informationen zur Installation des .NET Framework 3.5 SP1-Updates für Windows 8.1 und Windows Server 2012 R2 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5 unter Windows 8.1 und Windows Server 2012 R2

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

For Windows 10 (Version 1507)

For Windows 10 (Version 1511)

  1. Informationen zur Installation des kumulativen Updates für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 10. Mai 2016 finden Sie unter Kumulatives Update für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 10. Mai 2016.

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

Windows 10 (Version 1607) und höher, Windows Server 2016 und Windows Server 2019

Es muss kein Update installiert werden. Konfigurieren Sie die Windows-Registrierungsschlüssel wie unten beschrieben.

To manually configure the registry keys, do these steps.

  1. Erstellen Sie im Editor eine Textdatei namens net35-tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Speichern Sie die net35-tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die net35-tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.6 – Aktivieren starker Kryptografie in .NET Framework 3.5

Der SchUseStrongCrypto -Registrierungswert schränkt die Verwendung von Verschlüsselungsalgorithmen mit TLS ein, die als schwach angesehen werden wie z. B. RC4.

Microsoft hat ein optionales Sicherheitsupdate für .NET Framework 3.5 für ältere Betriebssysteme als Windows 10 veröffentlicht, mit dem die Windows-Registrierungsschlüssel automatisch konfiguriert werden. Keine Updates für Office 10 verfügbar. Sie müssen die Windows-Registrierungsschlüssel unter Windows 10 manuell konfigurieren.

For Windows 7 and Windows Server 2008 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5.1 unter Windows 7 und Windows Server 2008 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5.1 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 13. Mai 2014

For Windows Server 2012

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5 unter Windows Server 2012 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5 für Windows 8 und Windows Server 2012: 13. Mai 2014

For Windows 8.1 and Windows Server 2012 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5 unter Windows 8.1 und Windows Server 2012 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5 für Windows 8.1 und Windows Server 2012 R2: 13. Mai 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10

  1. Erstellen Sie im Editor eine Textdatei namens net35-strong-crypto-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern Sie die net35-strong-crypto-enable.reg -Datei.

  4. Doppelklicken Sie auf die net35-strong-crypto-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.7 – Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

Microsoft empfiehlt, SSL 2.0 und SSL 3.0 aufgrund von schwerwiegende Sicherheitsrisiken in diesen Protokollversionen zu deaktivieren.

Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So deaktivieren Sie die SSL 2.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl20-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl20-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl20-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die SSL 3.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl30-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl30-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl30-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls10-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls10-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls10-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls11-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.