Activer la prise en charge TLS et SSL dans SharePoint 2013

 

**Sapplique à :**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013

**Dernière rubrique modifiée :**2017-07-18

Résumé : Cet article décrit comment activer les versions du protocole TLS 1.1 et 1.2 dans un environnement SharePoint 2013.

La prise en charge des versions 1.1 et 1.2 du protocole TLS n’est pas activée par défaut dans SharePoint Server 2016. Pour activer la prise en charge, vous devez installer les mises à jour et modifier les paramètres de configuration une fois dans chacun des emplacements suivants :

1. Serveurs SharePoint dans votre batterie SharePoint

2. Serveurs Microsoft SQL Server dans votre batterie SharePoint

3. Ordinateurs clients utilisés pour accéder à vos sites SharePoint

Important

Si vous n’actualisez pas chacun de ces emplacements, il se peut que les systèmes ne parviennent pas à se connecter à l’aide de TLS 1.1 ou TLS 1.2. Au lieu de cela, les systèmes se replient sur un ancien protocole de sécurité ; et si les anciens protocoles de sécurité sont désactivés, les systèmes risquent de ne pas pouvoir se connecter du tout.
Exemple : Les serveurs SharePoint risquent de ne pas réussir à se connecter à des bases de données SQL Server ou des ordinateurs clients risquent de ne pas réussir à se connecter à vos sites SharePoint.

Résumé du processus de mise à jour

L’image suivante illustre le processus en trois étapes nécessaire pour activer la prise en charge de TLS 1.1 et TLS 1.2 sur vos serveurs SharePoint, les serveurs SQL Server et les ordinateurs clients.

Étape 1 : Mettez à jour les serveurs SharePoint dans votre batterie SharePoint

Procédez comme suit pour mettre à jour votre serveur SharePoint.

Étapes pour SharePoint Server	Windows Server 2008 R2	Windows Server 2012	Windows Server 2012 R2
- Activer TLS 1.1 et TLS 1.2 dans Windows Schannel	Obligatoire	N/D	S/O
- Activer la prise en charge de TLS 1.1 et TLS 1.2 dans WinHTTP	Obligatoire	Obligatoire	S/O
- Activer la prise en charge TLS 1.1 et TLS 1.2 dans Internet Explorer	Obligatoire	Obligatoire	S/O
- Installer la mise à jour de SQL Server 2008 R2 Native Client pour la prise en charge de TLS 1.2	Obligatoire	Obligatoire	Obligatoire
- Installer .NET Framework 4.6 ou version ultérieure	Obligatoire	Obligatoire	Obligatoire
- Activer la cryptographie forte dans .NET Framework 4.6 ou version ultérieure	Obligatoire	Obligatoire	Obligatoire
Les étapes suivantes sont recommandées. Même si elles ne sont pas directement requises par SharePoint Server 2016, elles peuvent être nécessaires pour d’autres logiciels qui s’intègrent avec SharePoint Server 2016.
- Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2	Recommandé	Recommandé	Recommandé
- Activer la cryptographie forte dans .NET Framework 3.5	Recommandé	Recommandé	Recommandé
L’étape suivante est facultative. Vous pouvez choisir d’effectuer cette étape en fonction des exigences de conformité et de sécurité de votre organisation.
- Désactiver les versions antérieures de SSL et TLS dans Windows Schannel	Facultatif	Facultatif	Facultatif

1.1 - Activer TLS 1.1 et TLS 1.2 dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l’application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s’applique uniquement lorsque l’application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

To enable TLS 1.1 support in Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls11-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Enregistrez le fichier tls11-enable.reg.

4. Double-cliquez sur le fichier tls11-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

To enable TLS 1.2 support in Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Enregistrez le fichier tls12-enable.reg.

4. Double-cliquez sur le fichier tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

1.2 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans WinHTTP

WinHTTP n’hérite pas ses valeurs par défaut de version de protocole de chiffrement SSL et TLS de la valeur de Registre Windows Schannel DisabledByDefault. WinHTTP utilise ses propres valeurs par défaut de version de protocole de chiffrement SSL et TLS, qui varient selon le système d’exploitation. Pour remplacer les valeurs par défaut, vous devez installer une mise à jour de la base de connaissances et configurer les clés de Registre Windows.

La valeur de Registre WinHTTP DefaultSecureProtocols est un champ de bits qui accepte plusieurs valeurs en les ajoutant pour former une seule valeur. Vous pouvez utiliser la calculatrice Windows (Calc.exe) en mode programmeur pour ajouter les valeurs hexadécimales suivantes comme vous le souhaitez.

Valeur DefaultSecureProtocols	Description
0x00000008	Activer SSL 2.0 par défaut
0x00000020	Activer SSL 3.0 par défaut
0x00000080	Activer TLS 1.0 par défaut
0x00000200	Activer TLS 1.1 par défaut
0x00000800	Activer TLS 1.2 par défaut

Par exemple, vous pouvez activer TLS 1.0, TLS 1.1 et TLS 1.2 par défaut en ajoutant les valeurs 0x00000080, 0 x 00000200 et 0x00000800 pour former la valeur 0x00000A80.

Pour installer la mise à jour de la base de connaissances WinHTTP, suivez les instructions de l’article de la base de connaissances relatif à la mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows

To enable TLS 1.0, TLS 1.1, and TLS 1.2 by default in WinHTTP

1. À partir de Notepad.exe, créez un fichier texte nommé winhttp-tls10-tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

3. Enregistrez le fichier winhttp-tls10-tls12-enable.reg.

4. Double-cliquez sur le fichier winhttp-tls10-tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

1.3 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer

Les version d’Internet Explorer antérieures à Internet Explorer 11 n’ont pas activé la prise en charge de TLS 1.1 ou TLS 1.2 par défaut. La prise en charge de TLS 1.1 et TLS 1.2 est activée par défaut à partir d’Internet Explorer 11.

Pour activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer

1. À partir d’Internet Explorer, cliquez sur Tools > Internet Options > Advanced ou sur >Internet Options > Advanced.

2. Dans la section Security, vérifiez que les cases à cocher suivantes sont sélectionnées, sinon cliquez dessus :

   • Utiliser TLS 1.1

   • Utiliser TLS 1.2

3. Si vous le souhaitez, si vous souhaitez désactiver la prise en charge pour des versions antérieures du protocole de sécurité, désactivez les cases à cocher suivantes :

   • Utiliser SSL 2.0

   • Utiliser SSL 3.0

   • Utiliser TLS 1.0

     Notes

     La désactivation de TLS 1.0 peut générer des problèmes de compatibilité avec des sites qui ne prennent pas en charge les nouvelles versions du protocole de sécurité. Les clients doivent tester cette modification avant de l’effectuer en production.

4. Cliquez sur OK.

1.4 - Installer la mise à jour de SQL Server 2008 R2 Native Client pour la prise en charge de TLS 1.2

SQL Server 2008 R2 Native Client ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut. Vous devez installer la mise à jour de SQL Server 2008 R2 Native Client pour la prise en charge de TLS 1.2.

Pour installer la mise à jour de SQL Server 2008 R2 Native Client, voir l’article de la base de connaissances relatif au correctif pour SQL Server 2008 R2

1.5 - Installer .NET Framework 4.6 ou version ultérieure

SharePoint 2013 nécessite .NET Framework 4.6, .NET Framework 4.6.1 ou .NET Framework 4.6.2 pour prendre en charge TLS 1.2. Microsoft recommande d’installer la dernière version de .NET Framework pour les dernières améliorations de fiabilité et de fonctionnalité.

Pour installer .NET Framework 4.6.2, voir l’article de la base de connaissances relatif à Microsoft .NET Framework 4.6.2 (programme d’installation Web) pour Windows

Pour installer .NET Framework 4.6.1, voir l’article de la base de connaissances relatif au programme d’installation Web Microsoft .NET Framework 4.6.1 pour Windows

Pour installer .NET Framework 4.6, voir l’article de la base de connaissances relatif à Microsoft .NET Framework 4.6 (programme d’installation Web) pour Windows

1.6 - Activer la cryptographie forte dans .NET Framework 4.6 ou version ultérieure

.NET Framework 4.6 et version ultérieure n’hérite pas ses valeurs par défaut de version de protocole de chiffrement SSL et TLS de la valeur de Registre Windows Schannel DisabledByDefault. Au lieu de cela, il utilise ses propres valeurs par défaut de version de protocole de chiffrement SSL et TLS. Pour remplacer les valeurs par défaut, vous devez configurer les clés de Registre Windows.

La valeur de Registre SchUseStrongCrypto change la valeur par défaut de la version du protocole de chiffrement de .NET Framework 4.6 et version ultérieure de SSL 3.0 ou TLS 1.0 en TLS 1.0 ou TLS 1.1 ou TLS 1.2. En outre, il limite l’utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Les applications compilées pour .NET Framework 4.6 ou version ultérieure se comporteront comme si la valeur de registre SchUseStrongCrypto était définie sur 1, même si ce n’est pas le cas. Pour garantir que toutes les applications .NET Framework utiliseront la cryptographie forte, vous devez configurer cette valeur de Registre Windows.

Pour activer la cryptographie forte dans .NET Framework 4.6 ou version ultérieure

1. À partir de Notepad.exe, créez un fichier texte nommé net46-strong-crypto-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

3. Enregistrez le fichier net46-strong-crypto-enable.reg.

4. Double-cliquez sur le fichier net46-strong-crypto-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

1.7 - Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2

.NET framework 3.5 ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut. Pour ajouter la prise en charge de TLS 1.1 et TLS 1.2, vous devez installer une mise à jour de la base de connaissances et configurer manuellement les clés de Registre Windows.

SharePoint 2013 repose sur .NET Framework 4.x et n’utilise pas .NET Framework 3.5. Toutefois, certains composants prérequis et logiciels tiers qui s’intègrent avec SharePoint 2013 peuvent utiliser .NET Framework 3.5. Microsoft recommande d’installer et de configurer cette mise à jour pour améliorer la compatibilité avec TLS 1.2.

La valeur de Registre SystemDefaultTlsVersions définit les valeurs par défaut de la version du protocole de sécurité qui seront utilisées par .NET Framework 3.5. Si la valeur est définie sur 0, la valeur par défaut de .NET Framework 3.5 sera SSL 3.0 or TLS 1.0. Si la valeur est définie sur 1, .NET Framework 3.5 héritera ses valeurs par défaut des valeurs de Registre Windows Schannel DisabledByDefault. Si la valeur n’est pas définie, il se comportera comme si la valeur était définie sur 0.

For Windows Server 2008 R2

1. Pour installer la mise à jour de .NET Framework 3.5.1 pour Windows Server 2008 R2, voir l’article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5.1 sous Windows 7 SP1 et Server 2008 R2 SP1

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows Server 2012

1. Pour installer la mise à jour de .NET Framework 3.5 pour Windows Server 2012, voir l’article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows Server 2012

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows Server 2012 R2

1. Pour installer la mise à jour de .NET Framework 3.5 SP1 pour Windows Server 2012 R2, voir l’article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows 8.1 et Windows Server 2012 R2

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

To manually configure the registry keys, do the following:

1. À partir de Notepad.exe, créez un fichier texte nommé net35-tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

3. Enregistrez le fichier net35-tls12-enable.reg.

4. Double-cliquez sur le fichier net35-tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

1.8 - Activer la cryptographie forte dans .NET Framework 3.5

La valeur de Registre SchUseStrongCrypto limite l’utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Microsoft a publié une mise à jour de sécurité facultative pour .NET Framework 3.5 qui configurera automatiquement les clés de Registre Windows.

Windows Server 2008 R2

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows Server 2008 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5.1 sous Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 datée du 13 mai 2014

Windows Server 2012

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows Server 2012, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5 sous Windows 8 et Windows Server 2012 datée du 13 mai 2014

Windows Server 2012 R2

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows Server 2012 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5 sous Windows 8.1 et Windows Server 2012 R2 datée du 13 mai 2014

1.9 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Important

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole.
Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour garantir que seule la dernière version du protocole est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l’effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l’application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s’applique uniquement lorsque l’application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour désactiver la prise en charge de SSL 2.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé ssl20-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier ssl20-disable.reg.

4. Double-cliquez sur le fichier ssl20-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de SSL 3.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé ssl30-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier ssl30-disable.reg.

4. Double-cliquez sur le fichier ssl30-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls10-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier tls10-disable.reg.

4. Double-cliquez sur le fichier tls10-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.1 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls11-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier tls11-disable.reg.

4. Double-cliquez sur le fichier tls11-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Étape 2 : Mettez à jour vos serveurs Microsoft SQL Server dans votre batterie SharePoint

Procédez comme suit pour mettre à jour vos serveurs SQL Server dans votre batterie SharePoint.

Étapes pour vos serveurs SQL Server	Windows Server 2008 R2	Windows Server 2012	Windows Server 2012 R2
- Activer TLS 1.1 et TLS 1.2 dans Windows Schannel	Obligatoire	N/D	S/O
- Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Microsoft SQL Server	Obligatoire	Obligatoire	Obligatoire
L’étape suivante est facultative. Effectuez cette étape en fonction des exigences de conformité et de sécurité de votre organisation.
- Désactiver les versions antérieures de SSL et TLS dans Windows Schannel	Facultatif	Facultatif	Facultatif

2.1 - Activer TLS 1.1 et TLS 1.2 dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l’application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s’applique uniquement lorsque l’application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour activer la prise en charge de TLS 1.1 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls11-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Enregistrez le fichier tls11-enable.reg.

4. Double-cliquez sur le fichier tls11-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour activer la prise en charge de TLS 1.2 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Enregistrez le fichier tls12-enable.reg.

4. Double-cliquez sur le fichier tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

2.2 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Microsoft SQL Server

Les versions de SQL Server antérieures à SQL Server 2016 ne prennent pas en charge TLS 1.1 ou TLS 1.2 par défaut. Pour ajouter la prise en charge pour TLS 1.1 et TLS 1.2, vous devez installer les mises à jour pour SQL Server.

Pour activer la prise en charge de TLS 1.1 et TLS 1.2 dans SQL Server, suivez les instructions de l’article de la base de connaissances relatif à la prise en charge de TLS 1.2 pour Microsoft SQL Server

2.3 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Important

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole.
Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour garantir que seule la dernière version du protocole est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l’effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l’application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s’applique uniquement lorsque l’application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour désactiver la prise en charge de SSL 2.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé ssl20-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier ssl20-disable.reg.

4. Double-cliquez sur le fichier ssl20-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de SSL 3.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé ssl30-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier ssl30-disable.reg.

4. Double-cliquez sur le fichier ssl30-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls10-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier tls10-disable.reg.

4. Double-cliquez sur le fichier tls10-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.1 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls11-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier tls11-disable.reg.

4. Double-cliquez sur le fichier tls11-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Étape 3 : Mettez à jour vos ordinateurs client utilisés pour accéder à vos sites SharePoint

Procédez comme suit pour mettre à jour vos ordinateurs clients qui accèdent à votre site SharePoint.

Étapes pour vos ordinateurs clients	Windows 7	Windows 8.1	Windows 10
- Activer TLS 1.1 et TLS 1.2 dans Windows Schannel	Obligatoire	N/D	S/O
- Activer la prise en charge de TLS 1.1 et TLS 1.2 dans WinHTTP	Obligatoire	N/D	S/O
- Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer	Obligatoire	N/D	S/O
- Activer la cryptographie forte dans .NET Framework 4.5 ou version ultérieure	Obligatoire	Obligatoire	Obligatoire
- Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2	Obligatoire	Obligatoire	Obligatoire
L’étape suivante est recommandée. Même si elles ne sont pas directement requises par SharePoint Server 2016, elles fournissent une meilleure sécurité en limitant l’utilisation des algorithmes de chiffrement faibles.
- Activer la cryptographie forte dans .NET Framework 3.5	Recommandé	Recommandé	Recommandé
L’étape suivante est facultative. Vous pouvez choisir d’effectuer cette étape en fonction des exigences de conformité et de sécurité de votre organisation.
- Désactiver les versions antérieures de SSL et TLS dans Windows Schannel	Facultatif	Facultatif	Facultatif

3.1 - Activer TLS 1.1 et TLS 1.2 dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l’application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s’applique uniquement lorsque l’application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour activer la prise en charge de TLS 1.1 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls11-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Enregistrez le fichier tls11-enable.reg.

4. Double-cliquez sur le fichier tls11-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour activer la prise en charge de TLS 1.2 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Enregistrez le fichier tls12-enable.reg.

4. Double-cliquez sur le fichier tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.2 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans WinHTTP

WinHTTP n’hérite pas ses valeurs par défaut de version de protocole de chiffrement SSL et TLS de la valeur de Registre Windows Schannel DisabledByDefault. WinHTTP utilise ses propres valeurs par défaut de version de protocole de chiffrement SSL et TLS, qui varient selon le système d’exploitation. Pour remplacer les valeurs par défaut, vous devez installer une mise à jour de la base de connaissances et configurer les clés de Registre Windows.

La valeur de Registre WinHTTP DefaultSecureProtocols est un champ de bits qui accepte plusieurs valeurs en les ajoutant pour former une seule valeur. Vous pouvez utiliser la calculatrice Windows (Calc.exe) en mode programmeur pour ajouter les valeurs hexadécimales suivantes comme vous le souhaitez.

Valeur DefaultSecureProtocols	Description
0x00000008	Activer SSL 2.0 par défaut
0x00000020	Activer SSL 3.0 par défaut
0x00000080	Activer TLS 1.0 par défaut
0x00000200	Activer TLS 1.1 par défaut
0x00000800	Activer TLS 1.2 par défaut

Par exemple, vous pouvez activer TLS 1.0, TLS 1.1 et TLS 1.2 par défaut en ajoutant les valeurs 0x00000080, 0 x 00000200 et 0x00000800 pour former la valeur 0x00000A80.

Pour installer la mise à jour de la base de connaissances WinHTTP, suivez les instructions de l’article de la base de connaissances relatif à la mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows

Pour activer TLS 1.0, TLS 1.1 et TLS 1.2 par défaut dans WinHTTP

1. À partir de Notepad.exe, créez un fichier texte nommé winhttp-tls10-tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

   For 32-bit operating system

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

3. Enregistrez le fichier winhttp-tls10-tls12-enable.reg.

4. Double-cliquez sur le fichier winhttp-tls10-tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.3 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer

Les version d’Internet Explorer antérieures à Internet Explorer 11 n’ont pas activé la prise en charge de TLS 1.1 ou TLS 1.2 par défaut. La prise en charge de TLS 1.1 et TLS 1.2 est activée par défaut à partir d’Internet Explorer 11.

Pour activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer

1. À partir d’Internet Explorer, cliquez sur Tools > Internet Options > Advanced ou sur >Internet Options > Advanced.

2. Dans la section Security, vérifiez que les cases à cocher suivantes sont sélectionnées. Si ce n’est pas le cas, cliquez sur les cases à cocher suivantes :

   • Utiliser TLS 1.1

   • Utiliser TLS 1.2

3. Si vous le souhaitez, si vous souhaitez désactiver la prise en charge pour des versions antérieures du protocole de sécurité, désactivez les cases à cocher suivantes :

   • Utiliser SSL 2.0

   • Utiliser SSL 3.0

   • Utiliser TLS 1.0

     Notes

     La désactivation de TLS 1.0 peut générer des problèmes de compatibilité avec des sites qui ne prennent pas en charge les nouvelles versions du protocole de sécurité. Les clients doivent tester cette modification avant de l’effectuer en production.

4. Cliquez sur OK.

3.4 - Activer la cryptographie forte dans .NET Framework 4.5 ou version ultérieure

.NET Framework 4.5 et version ultérieure n’hérite pas ses valeurs par défaut de version de protocole de chiffrement SSL et TLS de la valeur de Registre Windows Schannel DisabledByDefault. Au lieu de cela, il utilise ses propres valeurs par défaut de version de protocole de chiffrement SSL et TLS. Pour remplacer les valeurs par défaut, vous devez configurer les clés de Registre Windows.

La valeur de Registre SchUseStrongCrypto change la valeur par défaut de la version du protocole de sécurité de .NET Framework 4.5 et version ultérieure de SSL 3.0 ou TLS 1.0 en TLS 1.0 ou TLS 1.1 ou TLS 1.2. En outre, il limite l’utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Les applications compilées pour .NET Framework 4.6 ou version ultérieure se comporteront comme si la valeur de registre SchUseStrongCrypto était définie sur 1, même si ce n’est pas le cas. Pour garantir que toutes les applications .NET Framework utiliseront la cryptographie forte, vous devez configurer cette valeur de Registre Windows.

Microsoft a publié une mise à jour de sécurité facultative pour .NET Framework 4.5, 4.5.1 et 4.5.2 qui configurera automatiquement les clés de Registre Windows. Aucune mise à jour n’est disponible pour .NET Framework 4.6 ou version ultérieure. Vous devez configurer manuellement les clés de Registre Windows sur .NET Framework 4.6 ou version ultérieure.

For Windows 7 and Windows Server 2008 R2

Pour activer la cryptographie forte dans .NET Framework 4.5 et 4.5.1 sur Windows 7 et Windows Server 2008 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 4.5. et .NET Framework 4.5.1 sous Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 datée du 13 mai 2014.

Pour activer la cryptographie forte dans .NET Framework 4.5.2 sur Windows 7 et Windows Server 2008 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 4.5.2 sous Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 datée du 13 mai 2014.

For Windows Server 2012

Pour activer la cryptographie forte dans .NET Framework 4.5, 4.5.1 et 4.5.2 sur Windows Server 2012, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 4.5, .NET Framework 4.5.1 et .NET Framework 4.5.2 sous Windows 8, Windows RT et Windows Server 2012 datée du 13 mai 2014.

Windows 8.1 and Windows Server 2012 R2

Pour activer la cryptographie forte dans .NET Framework 4.5.1 et 4.5.2 sur Windows 8.1 et Windows Server 2012 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 4.5.1 et .NET Framework 4.5.2 sous Windows 8.1, Windows RT 8.1 et Windows Server 2012 R2 datée du 13 mai 2014.

Pour activer la cryptographie forte dans .NET Framework 4.6 ou version ultérieure

1. À partir de Notepad.exe, créez un fichier texte nommé net46-strong-crypto-enable.reg.

2. Copiez puis collez le texte suivant.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

3. Enregistrez le fichier net46-strong-crypto-enable.reg.

4. Double-cliquez sur le fichier net46-strong-crypto-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.5 - Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2

.NET framework 3.5 ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut. Pour ajouter la prise en charge de TLS 1.1 et TLS 1.2, vous devez installer une mise à jour de la base de connaissances et configurer manuellement les clés de Registre Windows pour chaque système d’exploitation indiqué dans cette section.

La valeur de Registre SystemDefaultTlsVersions définit les valeurs par défaut de la version du protocole de sécurité qui seront utilisées par .NET Framework 3.5. Si la valeur est définie sur 0, la valeur par défaut de .NET Framework 3.5 sera SSL 3.0 or TLS 1.0. Si la valeur est définie sur 1, .NET Framework 3.5 héritera ses valeurs par défaut des valeurs de Registre Windows Schannel DisabledByDefault. Si la valeur n’est pas définie, il se comportera comme si la valeur était définie sur 0.

Pour activer .NET Framework 3.5 afin qu’il hérite ses valeurs par défaut de protocole de chiffrement de Windows

Windows 7 and Windows Server 2008 R2

1. Pour installer la mise à jour de .NET Framework 3.5.1 pour Windows 7 et Windows Server 2008 R2, voir l’article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5.1 sur Windows 7 SP1 et Server 2008 R2 SP1 .

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows Server 2012

1. Pour installer la mise à jour de .NET Framework 3.5 pour Windows Server 2012, voir l’article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows Server 2012

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

Windows 8.1 and Windows Server 2012 R2

1. Pour installer la mise à jour de .NET Framework 3.5 SP1 pour Windows 8.1 et Windows Server 2012 R2, voir l’article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows 8.1 et Windows Server 2012 R2

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

Windows 10 (Version 1507)

• Cette fonctionnalité n’est pas disponible dans Windows 10 Version 1507. Vous devez effectuer une mise à niveau vers Windows 10 Version 1511 puis installer la Mise à jour cumulative pour Windows 10 version 1511 et Windows Server 2016 Technical Preview 4 datée du 10 mai 2016, ou effectuez une mise à niveau vers Windows 10 Version 1607 ou une version ultérieure.

Windows 10 (Version 1511)

1. Pour installer la Mise à jour cumulative pour Windows 10 Version 1511 et Windows Server 2016 Technical Preview 4 datée du 10 mai 2016, voir Mise à jour cumulative pour Windows 10 version 1511 et Windows Server 2016 Technical Preview 4 datée du 10 mai 2016.

2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

Windows 10 (Version 1607) and Windows Server 2016

Aucune mise à jour ne doit être installée. Configurez les clés de Registre Windows comme décrit ci-dessous.

To manually configure the registry keys, do the following:

1. À partir de Notepad.exe, créez un fichier texte nommé net35-tls12-enable.reg.

2. Copiez puis collez le texte suivant.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

3. Enregistrez le fichier net35-tls12-enable.reg.

4. Double-cliquez sur le fichier net35-tls12-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.6 - Activer la cryptographie forte dans .NET Framework 3.5

La valeur de Registre SchUseStrongCrypto limite l’utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Microsoft a publié une mise à jour de sécurité facultative pour .NET Framework 3.5 sur des systèmes d’exploitation de version antérieure à Windows 10 qui configurera automatiquement les clés de Registre Windows. Aucune mise à jour n’est disponible pour Windows 10. Vous devez configurer manuellement les clés de Registre Windows sur Windows 10.

Windows 7 and Windows Server 2008 R2

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows 7 et Windows Server 2008 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5.1 sous Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 datée du 13 mai 2014

For Windows Server 2012

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows Server 2012, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5 sous Windows 8 et Windows Server 2012 datée du 13 mai 2014

Windows 8.1 and Windows Server 2012 R2

Pour activer la cryptographie forte dans.NET Framework 3.5 sur Windows 8.1 et Windows Server 2012 R2, voir l’article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5 sous Windows 8.1 et Windows Server 2012 R2 datée du 13 mai 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10 and Windows Server 2016

1. À partir de Notepad.exe, créez un fichier texte nommé net35-strong-crypto-enable.reg.

2. Copiez puis collez le texte suivant.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   

3. Enregistrez le fichier net35-strong-crypto-enable.reg.

4. Double-cliquez sur le fichier net35-strong-crypto-enable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.7 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Important

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole.
Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour garantir que seule la dernière version du protocole est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l’effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l’application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s’applique uniquement lorsque l’application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour désactiver la prise en charge de SSL 2.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé ssl20-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier ssl20-disable.reg.

4. Double-cliquez sur le fichier ssl20-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de SSL 3.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé ssl30-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier ssl30-disable.reg.

4. Double-cliquez sur le fichier ssl30-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.0 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls10-disable.reg .

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier tls10-disable.reg .

4. Double-cliquez sur le fichier tls10-disable.reg .

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.1 dans Windows Schannel

1. À partir de Notepad.exe, créez un fichier texte nommé tls11-disable.reg.

2. Copiez puis collez le texte suivant.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Enregistrez le fichier tls11-disable.reg.

4. Double-cliquez sur le fichier tls11-disable.reg.

5. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

6. Redémarrez l'ordinateur pour que la modification soit prise en compte.