Habilitar o suporte ao TLS 1.1 e ao TLS 1.2 em diante no Servidor do Office Online

Resumo: Este artigo descreve como habilitar as versões de protocolo TLS (Transport Layer Security) 1.1 e 1.2 em Servidor do Office Online.

Para habilitar as versões de protocolo TLS 1.1 e 1.2 em diante em seu ambiente de Servidor do Office Online, você precisa configurar configurações em cada servidor em seu farm Servidor do Office Online.

O processo de configuração envolve a definição de várias chaves do registro para habilitar ou desabilitar protocolos de segurança. Embora você possa fazer essas atualizações manualmente ou por meio de um arquivo .reg no registro, recomendamos criar Objetos de Política de Grupo para gerenciar essas configurações, especialmente se estiver configurando esses protocolos em toda a organização.

As etapas básicas descritas neste artigo são:

  • Habilite criptografia forte em .NET Framework.

Observação

A partir da atualização de segurança cumulativa de julho de 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), essa etapa não é necessária. Qualquer pessoa que aplique esse patch pode ignorar esta etapa.

  • (Opcional) Desabilitar as versões anteriores do SSL e do TLS

Observação

Usar o TLS 1.1 e o TLS 1.2 em diante com Servidor do Office Online requer que o TLS 1.1 e o TLS 1.2 em diante sejam habilitados no Windows Server para cada computador em seu farm Servidor do Office Online. Eles são habilitados por padrão no Windows Server 2012 R2.

Siga essas etapas em cada servidor, no farm do Servidor do Office Online.

Habilitar uma criptografia forte no .NET Framework 4.5 ou superior

Observação

A partir da atualização de segurança cumulativa de julho de 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), essa etapa não é necessária. Qualquer pessoa que aplique esse patch pode ignorar esta etapa.

Usar o TLS 1.1 e o TLS 1.2 em diante com Servidor do Office Online requer criptografia forte em .NET Framework 4,5 ou superior. Para habilitar uma criptografia forte no .NET Framework 4.5 ou superior, adicione as seguintes chaves do registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Desabilitar versões anteriores do SSL e do TLS no Windows SChannel

Para habilitar ou desabilitar o suporte do SSL e do TLS no Windows SChannel, é necessário editar o Registro do Windows. É possível habilitar ou desabilitar cada versão dos protocolos SSL e TLS de forma independente. Não é necessário habilitar ou desabilitar uma versão para habilitar ou desabilitar outra versão do protocolo.

Importante

A Microsoft recomenda desabilitar o SSL 2.0 e o SSL 3.0 devido a sérias vulnerabilidades de segurança nessas versões do protocolo. > Os clientes também podem optar por desabilitar o TLS 1.0 e o TLS 1.1 para garantir que apenas a versão mais recente do protocolo seja usada. No entanto, isso pode causar problemas de compatibilidade com um software que não seja compatível com a versão mais recente do protocolo TLS. Os clientes devem testar uma alteração, antes de realizá-la na produção.

O valor de registro Enabled determina se é possível usar a versão do protocolo. Se o valor for definido como 0, não será possível usar a versão do protocolo, mesmo que ela esteja habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Quando o valor é definido como 1, é possível usar a versão do protocolo se ela estiver habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

O valor de registro DisabledByDefault determina quando usar a versão do protocolo por padrão. Essa configuração se aplica somente quando o aplicativo não exige explicitamente as versões do protocolo a ser usado. Se o valor for definido como 0, a versão do protocolo será usada por padrão. Se o valor for definido como 1, a versão do protocolo não será usada por padrão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

Para desabilitar o suporte do SSL 2.0 no Windows SChannel, adicione as seguintes chaves do registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Para desabilitar o suporte do SSL 3.0 no Windows SChannel, adicione as seguintes chaves do registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Para desabilitar o suporte do TLS 1.0 no Windows SChannel, adicione as seguintes chaves do registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Para desabilitar o suporte do TLS 1.1 no Windows SChannel, adicione as seguintes chaves do registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000