Поделиться через


Отключение TLS 1.0 и 1.1 для Microsoft 365

Важно!

Мы уже отключили TLS 1.0 и 1.1 для большинства служб Microsoft 365 во всемирной среде. Для Microsoft 365 под управлением 21 Vianet TLS 1.0/1.1 был отключен 30 июня 2023 г.

По состоянию на 31 октября 2018 г. протоколы TLS 1.0 и 1.1 устарели для службы Microsoft 365. Эффект для конечных пользователей минимальный. Это изменение было обнародовано в течение более двух лет, с первым публичным объявлением, сделанным в декабре 2017 года. Эта статья предназначена только для Office 365 локального клиента в отношении Office 365 службы, но также может применяться к локальным проблемам TLS в Office и Office Online Server/Office веб-приложения.

Для SharePoint и OneDrive необходимо обновить и настроить .NET для поддержки TLS 1.2. Дополнительные сведения см. в разделе Включение TLS 1.2 на клиентах.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

общие сведения о Office 365 и TLS

Клиент Office использует веб-службу Windows (WINHTTP) для отправки и получения трафика по протоколам TLS. Клиент Office может использовать TLS 1.2, если веб-служба локального компьютера может использовать TLS 1.2. Все клиенты Office могут использовать протоколы TLS, так как протоколы TLS и SSL являются частью операционной системы и не относятся к клиенту Office.

В Windows 8 и более поздних версиях

По умолчанию протоколы TLS 1.2 и 1.1 доступны, если сетевые устройства не настроены для отклонения трафика TLS 1.2.

В Windows 7

Протоколы TLS 1.1 и 1.2 недоступны без обновления базы знаний 3140245 . Обновление устраняет эту проблему и добавляет следующий вложенный раздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Примечание.

Пользователи Windows 7, у которых нет этого обновления, будут затронуты с 31 октября 2018 г. Kb 3140245 содержит сведения о том, как изменить параметры WINHTTP для включения протоколов TLS.

Дополнительная информация

Значение раздела реестра DefaultSecureProtocols , описанное в статье базы знаний, определяет, какие сетевые протоколы можно использовать:

Значение DefaultSecureProtocols Протокол включен
0x00000008 Включить протокол SSL 2.0 по умолчанию
0x00000020 Включить протокол SSL 3.0 по умолчанию
0x00000080 Включить протокол TLS 1.0 по умолчанию
0x00000200 Включить протокол TLS 1.1 по умолчанию
0x00000800 Включить протокол TLS 1.2 по умолчанию
0x00002000 Включение TLS 1.3 по умолчанию

Клиенты Office и разделы реестра TLS

В Office 365 см. статью KB 4057306 Подготовка к обязательному использованию TLS 1.2. Это общая статья для ИТ-администраторов и официальная документация по изменению TLS 1.2.

В следующей таблице показаны соответствующие значения разделов реестра в Office 365 клиентов после 31 октября 2018 г.

Включенные протоколы для службы Office 365 после 31 октября 2018 г. Шестнадцатеричное значение
TLS 1.0 + 1.1 + 1.2 0x00000A80
TLS 1.1 + 1.2 0x00000A00
TLS 1.0 + 1.2 0x00000880
TLS 1.2 0x00000800

Важно!

Не используйте протоколы SSL 2.0 и 3.0, которые также можно задать с помощью ключа DefaultSecureProtocols . SSL 2.0 и 3.0 считаются устаревшими и небезопасными протоколами. Рекомендуется прекратить использование SSL 2.0 и SSL 3.0, хотя решение сделать это в конечном итоге зависит от того, что лучше всего соответствует потребностям вашего продукта. Дополнительные сведения об уязвимостях SSL 3.0 см. в 3009008 базы знаний.

Вы можете использовать калькулятор Windows по умолчанию в режиме программиста, чтобы настроить те же значения ссылочных разделов реестра. Дополнительные сведения см. в статье Обновление базы знаний 3140245, чтобы включить протоколы TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.

Независимо от того, установлено ли обновление Windows 7 (KB 3140245), вложенный раздел реестра DefaultSecureProtocols отсутствует и должен быть добавлен вручную или с помощью объекта групповой политики . То есть, если вам не нужно настраивать, какие протоколы безопасности включены или ограничены, этот ключ не требуется. Вам потребуется только обновление Windows 7 с пакетом обновления 1 (SP1) (KB 3140245).

Обновление и настройка платформа .NET Framework для поддержки TLS 1.2

Вам потребуется обновить приложения, которые вызывают API Microsoft 365 через TLS 1.0 или TLS 1.1, чтобы использовать TLS 1.2. По умолчанию .NET 4.5 используется TLS 1.1. Сведения об обновлении конфигурации .NET см . в статье Включение протокола TLS 1.2 на клиентах.

Дополнительная информация

Дополнительные сведения см. в статье Подготовка к обязательному использованию TLS 1.2 в Office 365.

Ссылки

В следующих ресурсах содержатся рекомендации, которые помогут убедиться, что клиенты используют TLS 1.2 или более поздней версии, а также отключить TLS 1.0 и 1.1.