Сложное шифрование протокола TLS

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Протокол TLS шифрует данные между клиентом и сервером, но некоторые типы шифрования являются более надежными, чем другие. SharePoint Server использует расширенные возможности безопасности Windows Server 2022 для обеспечения того, чтобы tls-подключения к серверу использовали только самое надежное шифрование.

SharePoint Server настраивается для применения минимальной версии TLS и требований к набору шифров, указанных в разделе 9.2 RFC 7540 для привязок SSL независимо от версии HTTP, используемой подключением.

Это означает следующее:

  • Согласованная версия протокола SSL/TLS должна быть протоколом TLS 1.2 или выше. Версии протокола TLS ниже TLS 1.2 и все версии протокола SSL будут заблокированы для подключений к его SSL-привязкам.

  • Согласованный набор шифров TLS должен поддерживать прямую секретность и шифрование с проверкой подлинности с использованием связанных режимов шифрования данных (AEAD), таких как GCM. Наборы шифров, которые не обеспечивают прямую секретность, или наборы шифров, основанные на null, слабых потоковых шифрах (например, RC4) или режимах блочного шифрования (например, CBC), будут заблокированы для подключений, выполненных к его SSL-привязкам.

Эти требования будут применяться по умолчанию ко всем веб-приложениям SharePoint, которые используют привязку SSL и привязку SSL веб-сайта IIS "Веб-службы SharePoint", на котором размещаются конечные точки приложения службы SharePoint. Если клиентам необходимо продолжать поддерживать устаревшее шифрование для обратной совместимости (например, старые версии протокола TLS и наборы шифров), они могут настроить это с помощью параметра "Разрешить устаревшее шифрование" в центре администрирования. Его также можно настроить с помощью параметра -AllowLegacyEncryption в следующих PowerShell cmdlets программах и программах командной строки:

  • New-SPWebApplication

  • New-SPWebApplicationExtension

  • Set-SPWebApplication (набор параметров "Зона")

  • New-SPCentralAdministration

  • Set-SPCentralAdministration

  • Set-SPServiceHostConfig

  • PSConfig.exe -cmd adminvs

Примечание.

Надежное шифрование TLS по умолчанию недоступно, если выпуск подписки SharePoint Server развернут с более ранними версиями Windows Server. Корпорация Майкрософт рекомендует выполнять развертывание SharePoint Server по подписке с Windows Server 2022 или более поздней версии.