Abilitare il supporto di TLS 1.1 e TLS 1.2 in Office Online Server

  • Articolo

Riepilogo: Questo articolo descrive come abilitare il protocollo TLS (Transport Layer Security) versioni 1.1 e 1.2 in Office Online Server.

Per abilitare le versioni del protocollo TLS 1.1 e 1.2 in poi nell'ambiente Office Online Server, è necessario configurare le impostazioni in ogni server della farm Office Online Server.

Il processo di configurazione include l'impostazione di un numero di chiavi del Registro di sistema per attivare o disattivare i protocolli di protezione. È possibile effettuare questi aggiornamenti al Registro di sistema manualmente oppure mediante un file .reg, ma si consiglia di creare oggetti Criteri di gruppo per gestire tali impostazioni, soprattutto se si configurano questi protocolli di protezione all'interno dell'organizzazione.

La procedura di base illustrata in questo articolo è la seguente:

  • Abilitare la crittografia avanzata in .NET Framework.

Nota

A partire dall'aggiornamento cumulativo della sicurezza di luglio 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), questo passaggio non è obbligatorio. Chiunque applichi questa patch può ignorare questo passaggio.

  • (Facoltativo) Disabilitare le versioni precedenti dei protocolli SSL e TLS

Nota

L'uso di TLS 1.1 e TLS 1.2 e versioni successive con Office Online Server richiede l'abilitazione di TLS 1.1 e TLS 1.2 in windows server per ogni computer della farm Office Online Server. Sono abilitati per impostazione predefinita per Windows Server 2012 R2.

Seguire questi passaggi in ogni server della farm Office Online Server.

Abilitare una crittografia complessa in .NET Framework 4.5 o superiore

Nota

A partire dall'aggiornamento cumulativo della sicurezza di luglio 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), questo passaggio non è obbligatorio. Chiunque applichi questa patch può ignorare questo passaggio.

L'uso di TLS 1.1 e TLS 1.2 e versioni successive con Office Online Server richiede crittografia avanzata in .NET Framework 4.5 o versione successiva. Per abilitare la crittografia complessa .NET Framework 4.5 o superiore, aggiungere le seguenti chiavi del Registro di sistema:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Disabilitare le versioni precedenti dei protocolli SSL e TLS in Windows Schannel

Il supporto per SSL e TLS viene abilitato o disabilitato in Windows Schannel modificando il Registro di sistema di Windows. Ogni versione del protocollo SSL e TLS può essere abilitata o disabilitata indipendentemente. Non è necessario abilitare o disabilitare una versione del protocollo per abilitarne o disabilitarne un'altra.

Importante

[!IMPORTANTE] Si consiglia di disabilitare SSL 2.0 e SSL 3.0 a causa di gravi vulnerabilità di protezione in quelle versioni di protocollo. > I clienti possono anche scegliere di disabilitare TLS 1.0 e TLS 1.1 per assicurarsi che venga usata solo la versione del protocollo più recente. Tuttavia, ciò potrebbe provocare problemi di compatibilità con il software che non supporta la versione del protocollo TLS più recente. I clienti devono testare un simile cambiamento prima di applicarlo.

Il valore del Registro di sistema Enabled indica se è possibile utilizzare la versione del protocollo. Se il valore è impostato su 0, la versione del protocollo non può essere utilizzata, anche se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore è impostato su 1, la versione del protocollo può essere utilizzata se è abilitata per impostazione predefinita o se l'applicazione richiede esplicitamente quella versione di protocollo. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Il valore del registro di sistema DisabledByDefault indica se la versione del protocollo viene utilizzata per impostazione predefinita. Questa impostazione si applica solo quando l'applicazione non richiede esplicitamente le versioni di protocollo da utilizzare. Se il valore è impostato su 0, la versione del protocollo verrà utilizzata per impostazione predefinita. Se il valore è impostato su 1, la versione del protocollo non verrà utilizzata per impostazione predefinita. Se il valore non è definito, utilizzerà un valore predefinito determinato dal sistema operativo.

Per disabilitare il supporto di SSL 2.0 in Windows Schannel, aggiungere le seguenti chiavi del Registro di sistema:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Per disabilitare il supporto di SSL 3.0 in Windows Schannel, aggiungere le seguenti chiavi del Registro di sistema:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Per disabilitare il supporto di TLS 1.0 in Windows Schannel, aggiungere le seguenti chiavi del Registro di sistema:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Per disabilitare il supporto di TLS 1.1 in Windows Schannel, aggiungere le seguenti chiavi del Registro di sistema:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000