Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Office Online Server

Résumé: Cet article explique comment activer les versions de protocole TLS (Transport Layer Security) 1.1 et 1.2 dans Office Online Server.

Pour activer les versions 1.1 et 1.2 du protocole TLS dans votre environnement Office Online Server, vous devez configurer les paramètres sur chaque serveur de votre batterie de Office Online Server.

Dans le cadre de la configuration, vous devez définir un nombre de clés de Registre pour activer ou désactiver les protocoles de sécurité. Vous pouvez effectuer ces mises à jour du Registre manuellement ou en utilisant un fichier .reg. Toutefois, nous vous recommandons de créer des objets de stratégie de groupe pour gérer ces paramètres, surtout si vous configurez ces protocoles dans votre organisation.

Voici les étapes essentielles expliquées dans cet article :

  • Activez le chiffrement fort dans .NET Framework.

Notes

À compter de la mise à jour de sécurité cumulative de juillet 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5)cette étape n’est pas obligatoire. Toute personne qui applique ce correctif peut ignorer cette étape.

  • (Facultatif) Désactiver les versions antérieures de SSL et TLS

Notes

L’utilisation de TLS 1.1 et TLS 1.2 avec Office Online Server nécessite que TLS 1.1 et TLS 1.2 soient activés sur Windows Server pour chaque ordinateur de votre batterie de Office Online Server. Ils sont activés par défaut pour Windows Server 2012 R2.

Suivez ces étapes sur chaque serveur dans votre batterie Office Online Server.

Activer le chiffrement fort dans .NET Framework 4.5 ou version ultérieure

Notes

À compter de la mise à jour de sécurité cumulative de juillet 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5)cette étape n’est pas obligatoire. Toute personne qui applique ce correctif peut ignorer cette étape.

L’utilisation de TLS 1.1 et TLS 1.2 avec Office Online Server nécessite un chiffrement fort dans .NET Framework 4,5 ou une version ultérieure. Pour activer le chiffrement fort dans .NET Framework 4.5 ou version ultérieure, ajoutez les clés de Registre suivantes :


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Important

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole. > Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour garantir que seule la dernière version du protocole est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l'effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l'application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l'application demande explicitement cette version du protocole. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s'applique uniquement lorsque l'application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n'est pas utilisée par défaut. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.

Pour désactiver la prise en charge du protocole SSL 2.0 dans Windows Schannel, ajoutez les clés de Registre suivantes :


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Pour désactiver la prise en charge du protocole SSL 3.0 dans Windows Schannel, ajoutez les clés de Registre suivantes :


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Pour désactiver la prise en charge du protocole TLS 1.0 dans Windows Schannel, ajoutez les clés de Registre suivantes :


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Pour désactiver la prise en charge du protocole TLS 1.1 dans Windows Schannel, ajoutez les clés de Registre suivantes :


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000