Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Resumo: Este artigo descreve como ativar as versões 1.1 e 1.2 do protocolo Transport Layer Security (TLS) no Servidor do Office Online.
Para ativar as versões do protocolo TLS 1.1 e 1.2 no seu ambiente de Servidor do Office Online, tem de configurar as definições em cada servidor no farm de Servidor do Office Online.
O processo de configuração envolve a definição de várias chaves do registro para habilitar ou desabilitar protocolos de segurança. Embora você possa fazer essas atualizações manualmente ou por meio de um arquivo .reg no registro, recomendamos criar Objetos de Política de Grupo para gerenciar essas configurações, especialmente se estiver configurando esses protocolos em toda a organização.
As etapas básicas descritas neste artigo são:
- Ative a criptografia forte no .NET Framework.
Observação
A partir da atualização de segurança cumulativa de julho de 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), este passo não é necessário. Qualquer pessoa que aplique este patch pode ignorar este passo.
- (Opcional) Desabilitar as versões anteriores do SSL e do TLS
Observação
A utilização do TLS 1.1 e do TLS 1.2 com Servidor do Office Online requer que o TLS 1.1 e o TLS 1.2 sejam ativados no Windows Server para cada computador no farm de Servidor do Office Online. Eles são habilitados por padrão no Windows Server 2012 R2.
Siga essas etapas em cada servidor, no farm do Servidor do Office Online.
Habilitar uma criptografia forte no .NET Framework 4.5 ou superior
Observação
A partir da atualização de segurança cumulativa de julho de 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), este passo não é necessário. Qualquer pessoa que aplique este patch pode ignorar este passo.
A utilização do TLS 1.1 e do TLS 1.2 com Servidor do Office Online requer criptografia forte no .NET Framework 4,5 ou superior. Para habilitar uma criptografia forte no .NET Framework 4.5 ou superior, adicione as seguintes chaves do registro:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
Desabilitar versões anteriores do SSL e do TLS no Windows SChannel
Para habilitar ou desabilitar o suporte do SSL e do TLS no Windows SChannel, é necessário editar o Registro do Windows. É possível habilitar ou desabilitar cada versão dos protocolos SSL e TLS de forma independente. Não é necessário habilitar ou desabilitar uma versão para habilitar ou desabilitar outra versão do protocolo.
Importante
A Microsoft recomenda desabilitar o SSL 2.0 e o SSL 3.0 devido a sérias vulnerabilidades de segurança nessas versões do protocolo. > Os clientes também podem optar por desativar o TLS 1.0 e o TLS 1.1 para garantir que apenas é utilizada a versão mais recente do protocolo. No entanto, isso pode causar problemas de compatibilidade com um software que não seja compatível com a versão mais recente do protocolo TLS. Os clientes devem testar uma alteração, antes de realizá-la na produção.
O valor de registro Enabled determina se é possível usar a versão do protocolo. Se o valor for definido como 0, não será possível usar a versão do protocolo, mesmo que ela esteja habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Quando o valor é definido como 1, é possível usar a versão do protocolo se ela estiver habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.
O valor de registro DisabledByDefault determina quando usar a versão do protocolo por padrão. Essa configuração se aplica somente quando o aplicativo não exige explicitamente as versões do protocolo a ser usado. Se o valor for definido como 0, a versão do protocolo será usada por padrão. Se o valor for definido como 1, a versão do protocolo não será usada por padrão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.
Para desabilitar o suporte do SSL 2.0 no Windows SChannel, adicione as seguintes chaves do registro:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Para desabilitar o suporte do SSL 3.0 no Windows SChannel, adicione as seguintes chaves do registro:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Para desabilitar o suporte do TLS 1.0 no Windows SChannel, adicione as seguintes chaves do registro:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Para desabilitar o suporte do TLS 1.1 no Windows SChannel, adicione as seguintes chaves do registro:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000