Freigeben über


Aktivieren der TLS- und SSL-Unterstützung in SharePoint 2013

GILT FÜR:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Unterstützung für TLS-Protokollversionen 1.1 und 1.2 ist in SharePoint Server 2013 standardmäßig deaktiviert. Um die Unterstützung zu aktivieren, müssen Sie Updates installieren und die Konfigurationseinstellungen für jeden der folgenden Speicherorte ändern:

  1. SharePoint-Server in der SharePoint-Farm

  2. Microsoft SQL-Server in der SharePoint-Farm

  3. Clientcomputer, die für den Zugriff auf Ihre SharePoint-Websites verwendet werden

Wichtig

Wenn Sie nicht jeden dieser Speicherorte aktualisieren, besteht das Risiko, dass Systeme nicht über TLS 1.1 oder TLS 1.2 eine Verbindung miteinander herstellen können. Die Systeme greifen stattdessen auf ein älteres Sicherheitsprotokoll zurück. und wenn die älteren Sicherheitsprotokolle deaktiviert sind, können die Systeme möglicherweise keine vollständige Verbindung herstellen. > Beispiel: SharePoint-Server können möglicherweise keine Verbindung mit SQL Server-Datenbanken herstellen, oder Clientcomputer können keine Verbindung mit Ihren SharePoint-Websites herstellen.

Erfahren Sie mehr über die Datenverschlüsselung in OneDrive und SharePoint in Microsoft 365.

Zusammenfassung des Updatevorgangs

In der folgenden Abbildung sind die drei Schritte des Updatevorgangs dargestellt, die zum Aktivieren der Unterstützung für TLS 1.1 und TLS 1.2 auf Ihren SharePoint-Servern, SQL-Servern und Clientcomputern erforderlich sind.

Anzeige von Schritten für die Aktivierung von TLS und SSL auf Sharepoint-Servern

Schritt 1: Aktualisieren der SharePoint-Server in der SharePoint-Farm

Führen Sie die folgenden Schritte zum Aktualisieren des SharePoint-Servers aus.

Schritte für SharePoint Server Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2
1.1 - Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel
Erforderlich
Nicht zutreffend
Nicht zutreffend
1.2 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in WinHTTP
Erforderlich
Erforderlich
Nicht zutreffend
1.3 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer
Erforderlich
Erforderlich
Nicht zutreffend
1.4 – Installation von SQL Server 2008 R2 Native Client-Update zur Unterstützung von TLS 1.2
Erforderlich
Erforderlich
Erforderlich
1.5 – Installation von .NET Framework 4.6 oder höher
Erforderlich
Erforderlich
Erforderlich
1.6 – Aktivieren starker Kryptografie in .NET Framework 4.6 oder höher
Erforderlich
Erforderlich
Erforderlich
Die folgenden Schritte werden empfohlen. Obwohl sharePoint Server 2013 nicht direkt erforderlich ist, sind sie möglicherweise für andere Software erforderlich, die in SharePoint Server 2013 integriert ist.
1.7 – Installation des .NET Framework 3.5-Update zur Unterstützung von TLS 1.1 und TLS 1.2
Empfohlen
Empfohlen
Empfohlen
1.8 – Aktivieren starker Kryptografie in .NET Framework 3.5
Empfohlen
Empfohlen
Empfohlen
Der folgende Schritt ist optional. Sie können diesen Schritt je nach Sicherheits- und Complianceanforderungen Ihrer Organisation optional ausführen.
1.9 – Deaktivieren früherer Versionen von SSL und TLS im Windows Schannel
Optional
Optional
Optional

1.1 – Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So aktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls11-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So aktivieren Sie die TLS 1.2-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

1.2 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in WinHTTP

WinHTTP erbt die Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion nicht vom DisabledByDefault-Registrierungswert von Windows Schannel. WinHTTP verwendet eigene Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion, die je nach Betriebssystem variieren können. Um die Standardeinstellungen außer Kraft zu setzen, müssen Sie ein KB-Update installieren und die Windows-Registrierungsschlüssel konfigurieren.

Der WinHTTP ** DefaultSecureProtocols ** -Registrierungswert ist ein Bitfeld, das mehrere Werte akzeptiert, indem sie zu einem einzelnen Wert addiert werden. Sie können nach Bedarf das Programm „Windows-Rechner" (Calc.exe) im Programmiermodus zum Addieren der folgenden Hexadezimalwerte verwenden.

DefaultSecureProtocols-Wert Beschreibung
0x00000008
SSL 2.0 standardmäßig aktivieren
0x00000020
SSL 3.0 standardmäßig aktivieren
0x00000080
TLS 1.0 standardmäßig aktivieren
0x00000200
TLS 1.1 standardmäßig aktivieren
0x00000800
TLS 1.2 standardmäßig aktivieren

Sie können beispielsweise TLS 1.0, TLS 1.1 und TLS 1.2 standardmäßig aktivieren, indem Sie die Werte 0x00000080, 0x00000200 und 0x00000800 addieren, sodass der Wert 0x00000A80 lautet.

Befolgen Sie zum Installieren des WinHTTP KB-Update die Anweisungen in dem KB-Artikel Update zum Aktivieren von TLS 1.1 und TLS 1.2 als standardmäßige sichere Protokolle in WinHTTP in Windows

So aktivieren Sie TLS 1.0, TLS 1.1 und TLS 1.2 standardmäßig in WinHTTP

  1. Erstellen Sie im Editor eine Textdatei namens winhttp-tls10-tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Speichern Sie die winhttp-tls10-tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die winhttp-tls10-tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

1.3 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer

In älteren Internet Explorer-Versionen als Internet Explorer 11 wurde TLS 1.1- oder TLS 1.2-Unterstützung standardmäßig nicht aktiviert. Unterstützung für TLS 1.1 und TLS 1.2 wurde standardmäßig ab Version Internet Explorer 11 aktiviert.

So aktivieren Sie die TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer

  1. Klicken Sie in Internet Explorer auf Extras>Internetoptionen>Erweitert oder auf Menü Einstellungen anzeigen für Internet Explorer>Internetoptionen>Erweitert.

  2. Stellen Sie im Abschnitt Security sicher, dass die folgenden Kontrollkästchen aktiviert sind:

  • TLS 1.1 verwenden

  • TLS 1.2 verwenden

  1. Wenn Sie die Unterstützung für frühere Versionen des Sicherheitsprotokolls deaktivieren möchten, können Sie optional die folgenden Kontrollkästchen deaktivieren:
  • SSL 2.0 verwenden

  • SSL 3.0 verwenden

  • TLS 1.0 verwenden

    Hinweis

    Beim Deaktivieren von TLS 1.0 treten möglicherweise bei Websites, die neuere Sicherheitsprotokollversionen nicht unterstützten, Kompatibilitätsprobleme auf. Benutzer sollten diese Änderung testen, bevor Sie diese in Produktion verwenden.

  1. Klicken Sie auf OK.

1.4 – Installation von SQL Server 2008 R2 Native Client-Update zur Unterstützung von TLS 1.2

Standardmäßig werden TLS 1.1 und TLS 1.2 nicht in SQL Server 2008 R2 Native Client unterstützt. Sie müssen das SQL Server 2008 R2 Native Client-Update zur Unterstützung von TLS 1.2 installieren.

Informationen zum Installieren des SQL Server 2008 R2 Native Client-Updates finden Sie unter SQL 2008 und 2008 R2 TLS 1.2 SQL Native Client-Updates sind im Windows-Katalog nicht verfügbar.

1.5 – Installation von .NET Framework 4.6 oder höher

Für SharePoint 2013 ist .NET Framework 4.6, .NET Framework 4.6.1 oder .NET Framework 4.6.2 zur Unterstützung von TLS 1.2 erforderlich. Microsoft empfiehlt die Installation der neuesten Version von .NET Framework, um von den neuesten Funktionen und Zuverlässigkeitsverbesserungen zu profitieren.

Informationen zur Installation von .NET Framework 4.6.2 finden Sie im KB-Artikel Microsoft .NET Framework 4.6.2 (Webinstaller) für Windows

Informationen zur Installation von .NET Framework 4.6.1 finden Sie im KB-Artikel .NET Framework 4.6.1-Webinstaller für Windows

Informationen zur Installation von .NET Framework 4.6 finden Sie im KB-Artikel Microsoft .NET Framework 4.6 (Webinstaller) für Windows

1.6 – Aktivieren starker Kryptografie in .NET Framework 4.6 oder höher

.NET Framework 4.6 oder höher erbt die Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion nicht vom DisabledByDefault -Registrierungswert von Windows Schannel. Stattdessen verwendet .NET Framework eigene Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion. Um die Standardeinstellungen außer Kraft zu setzen, müssen Sie die Windows-Registrierungsschlüssel konfigurieren.

Der SchUseStrongCrypto-Registrierungswert ändert die Standardeinstellung für die Verschlüsselungsprotokollversion für .NET Framework 4.6 oder höher von SSL 3.0 oder TLS 1.0 zu TLS 1.0 oder TLS 1.1 oder TLS 1.2. Darüber hinaus wird mit diesem die Verwendung von Verschlüsselungsalgorithmen mit TLS eingeschränkt, die als schwach angesehen werden wie z. B. RC4.

Für .NET Framework 4.6 oder höher kompilierte Anwendungen verhalten sich wie beim SchUseStrongCrypto -Registrierungswert „1", selbst wenn dieser nicht auf 1 festgelegt ist. Um sicherzustellen, dass alle .NET Framework-Clientanwendungen starke Kryptografie verwenden, müssen Sie diesen Windows-Registrierungswert konfigurieren.

So aktivieren Sie starke Kryptografie in .NET Framework 4.6 oder höher

  1. Erstellen Sie im Editor eine Textdatei namens net46-strong-crypto-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern Sie die net46-strong-crypto-enable.reg -Datei.

  4. Doppelklicken Sie auf die net46-strong-crypto-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

1.7 – Installation des .NET Framework 3.5-Update zur Unterstützung von TLS 1.1 und TLS 1.2

.NET Framework 3.5 bietet standardmäßig keine TLS 1.1- und TLS 1.2-Unterstützung. Um Unterstützung für TLS 1.1 und TLS 1.2 hinzuzufügen, müssen Sie ein KB-Update installieren und die Windows-Registrierungsschlüssel manuell konfigurieren.

SharePoint 2013 basiert auf .NET Framework 4.x und verwendet .NET Framework 3.5 nicht. Bestimmte erforderliche Komponenten und Drittanbietersoftware, die in SharePoint 2013 integriert ist, verwenden jedoch möglicherweise .NET Framework 3.5. Microsoft empfiehlt, dieses Update zu installieren und zu konfigurieren, um die Kompatibilität mit TLS 1.2 zu verbessern.

Der SystemDefaultTlsVersions -Registrierungswert definiert die Standardeinstellungen für die Sicherheitsprotokollversion, die standardmäßig von .NET Framework 3.5 verwendet werden. Wenn der Wert auf 0 festgelegt ist, verwendet .NET Framework 3.5 standardmäßig SSL 3.0 or TLS 1.0. Wenn der Wert auf 1 festgelegt ist, erbt .NET Framework 3.5 die Standardeinstellungen von den DisabledByDefault -Registrierungswerten für Windows Schannel. Wenn der Wert nicht definiert ist, verhält sich .NET Frameword wie beim Wert „0".

** Für Windows Server 2008 R2 **

  1. Informationen zur Installation des .NET Framework 3.5.1-Updates für Windows Server 2008 R2 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5.1 unter Windows 7 SP1 und Server 2008 R2 SP1

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

For Windows Server 2012

  1. Informationen zur Installation des .NET Framework 3.5-Updates für Windows Server 2012 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5 unter Windows Server 2012

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

For Windows Server 2012 R2

  1. Informationen zur Installation des .NET Framework 3.5 SP1-Updates für Windows Server 2012 R2 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5 unter Windows 8.1 und Windows Server 2012 R2

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

To manually configure the registry keys, do the following:

  1. Erstellen Sie im Editor eine Textdatei namens net35-tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Speichern Sie die net35-tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die net35-tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

1.8 – Aktivieren starker Kryptografie in .NET Framework 3.5

Der SchUseStrongCrypto -Registrierungswert schränkt die Verwendung von Verschlüsselungsalgorithmen mit TLS ein, die als schwach angesehen werden wie z. B. RC4.

Microsoft hat ein optionales Sicherheitsupdate für .NET Framework 3.5 veröffentlicht, mit dem die Windows-Registrierungsschlüssel automatisch konfiguriert werden.

Windows Server 2008 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5.1 unter Windows Server 2008 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5.1 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 13. Mai 2014

Windows Server 2012

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5 unter Windows Server 2012 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5 für Windows 8 und Windows Server 2012: 13. Mai 2014

Windows Server 2012 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5 unter Windows Server 2012 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5 für Windows 8.1 und Windows Server 2012 R2: 13. Mai 2014

1.9 – Deaktivieren früherer Versionen von SSL und TLS im Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

Microsoft empfiehlt, SSL 2.0 und SSL 3.0 aufgrund von schwerwiegende Sicherheitsrisiken in diesen Protokollversionen zu deaktivieren. > Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So deaktivieren Sie die SSL 2.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl20-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl20-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl20-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die SSL 3.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl30-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl30-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl30-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls10-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls10-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls10-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls11-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

Schritt 2: Aktualisieren von Microsoft SQL-Servern in der SharePoint-Farm

Führen Sie die folgenden Schritte zum Aktualisieren von SQL-Servern in der SharePoint-Farm aus.

Schritte für die SQL-Server Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2
2.1 - Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel
Erforderlich
Nicht zutreffend
Nicht zutreffend
2.2 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in Microsoft SQL Server
Erforderlich
Erforderlich
Erforderlich
Der folgende Schritt ist optional. Führen Sie diesen Schritt gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation aus.
2.3 – Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel
Optional
Optional
Optional

2.1 – Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So aktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls11-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So aktivieren Sie die TLS 1.2-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

2.2 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in Microsoft SQL Server

Ältere SQL Server-Versionen als SQL Server 2016 bieten standardmäßig keine TLS 1.1- und TLS 1.2-Unterstützung. Für TLS 1.1- und TLS 1.2-Unterstützung müssen Sie die Updates für SQL Server installieren.

Befolgen Sie zum Aktivieren der TLS 1.1- und 1.2 TLS-Unterstützung in SQL Server die Anweisungen im KB-Artikel TLS 1.2-Unterstützung für Microsoft SQL Server

2.3 – Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

Microsoft empfiehlt, SSL 2.0 und SSL 3.0 aufgrund von schwerwiegende Sicherheitsrisiken in diesen Protokollversionen zu deaktivieren. > Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So deaktivieren Sie die SSL 2.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl20-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl20-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl20-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die SSL 3.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl30-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl30-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl30-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls10-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls10-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls10-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls11-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

Schritt 3: Aktualisieren der Clientcomputer, die für den Zugriff auf SharePoint-Websites verwendet werden

Führen Sie diese Schritte aus, um die Clientcomputer zu aktualisieren, die auf die SharePoint-Website zugreifen.

Schritte für die Clientcomputer Windows 7 Windows 8.1 Windows 10
3.1 - Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel
Erforderlich
Nicht zutreffend
Nicht zutreffend
3.2 Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in WinHTTP
Erforderlich
Nicht zutreffend
Nicht zutreffend
3.3 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer
Erforderlich
Nicht zutreffend
Nicht zutreffend
3.4 – Aktivieren starker Kryptografie in .NET Framework 4.5 oder höher
Erforderlich
Erforderlich
Erforderlich
3.5 – Installation des .NET Framework 3.5-Updates zur Unterstützung von TLS 1.1 und TLS 1.2
Erforderlich
Erforderlich
Erforderlich
Der folgende Schritt wird empfohlen. Obwohl sharePoint Server 2013 nicht direkt erforderlich ist, bieten sie eine bessere Sicherheit, indem sie die Verwendung schwacher Verschlüsselungsalgorithmen einschränken.
3.6 – Aktivieren starker Kryptografie in .NET Framework 3.5
Empfohlen
Empfohlen
Empfohlen
Der folgende Schritt ist optional. Sie können diesen Schritt je nach Sicherheits- und Complianceanforderungen Ihrer Organisation optional ausführen.
3.7 – Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel
Optional
Optional
Optional

3.1 – Aktivieren von TLS 1.1 und TLS 1.2 in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So aktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls11-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So aktivieren Sie die TLS 1.2-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Speichern Sie die tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.2 Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in WinHTTP

WinHTTP erbt die Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion nicht vom DisabledByDefault-Registrierungswert von Windows Schannel. WinHTTP verwendet eigene Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion, die je nach Betriebssystem variieren können. Um die Standardeinstellungen außer Kraft zu setzen, müssen Sie ein KB-Update installieren und die Windows-Registrierungsschlüssel konfigurieren.

Der WinHTTP ** DefaultSecureProtocols ** -Registrierungswert ist ein Bitfeld, das mehrere Werte akzeptiert, indem sie zu einem einzelnen Wert addiert werden. Sie können nach Bedarf das Programm „Windows-Rechner“ (Calc.exe) im Programmiermodus zum Addieren der folgenden Hexadezimalwerte verwenden.

Hexadezimalwerte

DefaultSecureProtocols-Wert Beschreibung
0x00000008
SSL 2.0 standardmäßig aktivieren
0x00000020
SSL 3.0 standardmäßig aktivieren
0x00000080
TLS 1.0 standardmäßig aktivieren
0x00000200
TLS 1.1 standardmäßig aktivieren
0x00000800
TLS 1.2 standardmäßig aktivieren

Sie können beispielsweise TLS 1.0, TLS 1.1 und TLS 1.2 standardmäßig aktivieren, indem Sie die Werte 0x00000080, 0x00000200 und 0x00000800 addieren, sodass der Wert 0x00000A80 lautet.

Befolgen Sie zum Installieren des WinHTTP KB-Update die Anweisungen in dem KB-Artikel Update zum Aktivieren von TLS 1.1 und TLS 1.2 als standardmäßige sichere Protokolle in WinHTTP in Windows

So aktivieren Sie TLS 1.0, TLS 1.1 und TLS 1.2 standardmäßig in WinHTTP

  1. Erstellen Sie im Editor eine Textdatei namens winhttp-tls10-tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    

    For 32-bit operating system

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Speichern Sie die winhttp-tls10-tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die winhttp-tls10-tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.3 – Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer

In älteren Internet Explorer-Versionen als Internet Explorer 11 wurde TLS 1.1- oder TLS 1.2-Unterstützung standardmäßig nicht aktiviert. Unterstützung für TLS 1.1 und TLS 1.2 wurde standardmäßig ab Version Internet Explorer 11 aktiviert.

So aktivieren Sie die TLS 1.1- und TLS 1.2-Unterstützung im Internet Explorer

  1. Klicken Sie in Internet Explorer auf Extras>Internetoptionen>Erweitert oder auf Menü Einstellungen anzeigen für Internet Explorer>Internetoptionen>Erweitert.

  2. Stellen Sie im Abschnitt Security sicher, dass die folgenden Kontrollkästchen aktiviert sind. Falls dies nicht der Fall ist, aktivieren Sie die folgenden Kontrollkästchen:

  • TLS 1.1 verwenden

  • TLS 1.2 verwenden

  1. Wenn Sie die Unterstützung für frühere Versionen des Sicherheitsprotokolls deaktivieren möchten, können Sie optional die folgenden Kontrollkästchen deaktivieren:
  • SSL 2.0 verwenden

  • SSL 3.0 verwenden

  • TLS 1.0 verwenden

    Hinweis

    Beim Deaktivieren von TLS 1.0 treten möglicherweise bei Websites, die neuere Sicherheitsprotokollversionen nicht unterstützten, Kompatibilitätsprobleme auf. Benutzer sollten diese Änderung testen, bevor Sie diese in Produktion verwenden.

  1. Klicken Sie auf OK.

3.4 – Aktivieren starker Kryptografie in .NET Framework 4.5 oder höher

.NET Framework 4.5 oder höher erbt die Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion nicht vom DisabledByDefault -Registrierungswert von Windows Schannel. Stattdessen verwendet .NET Framework eigene Standardwerte für SSL und TLS-Verschlüsselungsprotokollversion. Um die Standardeinstellungen außer Kraft zu setzen, müssen Sie die Windows-Registrierungsschlüssel konfigurieren.

Der SchUseStrongCrypto-Registrierungswert ändert die Standardeinstellung für die Verschlüsselungsprotokollversion für .NET Framework 4.5 oder höher von SSL 3.0 oder TLS 1.0 zu TLS 1.0 oder TLS 1.1 oder TLS 1.2. Darüber hinaus wird mit diesem die Verwendung von Verschlüsselungsalgorithmen mit TLS eingeschränkt, die als schwach angesehen werden wie z. B. RC4.

Für .NET Framework 4.6 oder höher kompilierte Anwendungen verhalten sich wie beim SchUseStrongCrypto -Registrierungswert „1", selbst wenn dieser nicht auf 1 festgelegt ist. Um sicherzustellen, dass alle .NET Framework-Clientanwendungen starke Kryptografie verwenden, müssen Sie diesen Windows-Registrierungswert konfigurieren.

Microsoft hat ein optionales Sicherheitsupdate für .NET Framework 4.5, 4.5.1 und 4.5.2 veröffentlicht, mit dem die Windows-Registrierungsschlüssel automatisch konfiguriert werden. Es sind keine Updates für .NET Framework 4.6 oder höher verfügbar. Sie müssen die Windows-Registrierungsschlüssel manuell für NET Framework 4.6 oder höher konfigurieren.

For Windows 7 and Windows Server 2008 R2

So aktivieren Sie starke Kryptografie in .NET Framework 4.5 und 4.5.1 unter Windows 7 und Windows Server 2008 R2 Siehe MS14-026: Sicherheitsrisiko in .NET Framework kann Rechteerweiterungen ermöglichen: 13. Mai 2014 (früher als KB-Artikel 2938782 veröffentlicht, "Beschreibung des Sicherheitsupdates für .NET Framework 4.5 und .NET Framework 4.5.1 unter Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 13. Mai 2014").

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 4.5.2 unter Windows 7 und Windows Server 2008 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 4.5.2 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 13. Mai 2014

For Windows Server 2012

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 4.5, 4.5.1 und 4.5.2 unter Windows Server 2012 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 4.5, .NET Framework 4.5.1 und .NET Framework 4.5.2 für Windows 8, Windows RT und Windows Server 2012: 13. Mai 2014

Windows 8.1 and Windows Server 2012 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 4.5.1 und 4.5.2 unter Windows 8.1 und Windows Server 2012 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 4.5.1 und .NET Framework 4.5.2 für Windows 8.1, Windows RT 8.1 und Windows Server 2012 R2: 13. Mai 2014

So aktivieren Sie starke Kryptografie in .NET Framework 4.6 oder höher

  1. Erstellen Sie im Editor eine Textdatei namens net46-strong-crypto-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern Sie die net46-strong-crypto-enable.reg -Datei.

  4. Doppelklicken Sie auf die net46-strong-crypto-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.5 – Installation des .NET Framework 3.5-Updates zur Unterstützung von TLS 1.1 und TLS 1.2

.NET Framework 3.5 bietet standardmäßig keine TLS 1.1- und TLS 1.2-Unterstützung. Um Unterstützung für TLS 1.1 und TLS 1.2 hinzuzufügen, müssen Sie ein KB-Update installieren und die Windows-Registrierungsschlüssel für jedes in diesem Abschnitt aufgeführte Betriebssystem manuell konfigurieren.

Der SystemDefaultTlsVersions -Registrierungswert definiert die Standardeinstellungen für die Sicherheitsprotokollversion, die standardmäßig von .NET Framework 3.5 verwendet werden. Wenn der Wert auf 0 festgelegt ist, verwendet .NET Framework 3.5 standardmäßig SSL 3.0 or TLS 1.0. Wenn der Wert auf 1 festgelegt ist, erbt .NET Framework 3.5 die Standardeinstellungen von den DisabledByDefault -Registrierungswerten für Windows Schannel. Wenn der Wert nicht definiert ist, verhält sich .NET Frameword wie beim Wert „0".

So aktivieren Sie .NET Framework 3.5 für das Erben der Standardeinstellungen für das Verschlüsselungsprotokoll von Windows

Windows 7 and Windows Server 2008 R2

  1. Informationen zur Installation des .NET Framework 3.5.1-Updates für Windows 7 und Windows Server 2008 R2 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5.1 unter Windows 7 SP1 und Windows Server 2008 R2 SP1

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

For Windows Server 2012

  1. Informationen zur Installation des .NET Framework 3.5-Updates für Windows Server 2012 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5 unter Windows Server 2012

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

Windows 8.1 and Windows Server 2012 R2

  1. Informationen zur Installation des .NET Framework 3.5 SP1-Updates für Windows 8.1 und Windows Server 2012 R2 finden Sie im KB-Artikel Unterstützung für TLS-Systemstandardversionen in .NET Framework 3.5 unter Windows 8.1 und Windows Server 2012 R2

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

Windows 10 (Version 1507)

Windows 10 (Version 1511)

  1. Informationen zur Installation des kumulativen Updates für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 10. Mai 2016 finden Sie unter Kumulatives Update für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 10. Mai 2016.

  2. Nach der Installation des KB-Updates müssen Sie die Registrierungsschlüssel manuell konfigurieren.

Windows 10 (Version 1607) and Windows Server 2016

Es muss kein Update installiert werden. Konfigurieren Sie die Windows-Registrierungsschlüssel wie unten beschrieben.

To manually configure the registry keys, do the following:

  1. Erstellen Sie im Editor eine Textdatei namens net35-tls12-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Speichern Sie die net35-tls12-enable.reg -Datei.

  4. Doppelklicken Sie auf die net35-tls12-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.6 – Aktivieren starker Kryptografie in .NET Framework 3.5

Der SchUseStrongCrypto -Registrierungswert schränkt die Verwendung von Verschlüsselungsalgorithmen mit TLS ein, die als schwach angesehen werden wie z. B. RC4.

Microsoft hat ein optionales Sicherheitsupdate für .NET Framework 3.5 für ältere Betriebssysteme als Windows 10 veröffentlicht, mit dem die Windows-Registrierungsschlüssel automatisch konfiguriert werden. Keine Updates für Office 10 verfügbar. Sie müssen die Windows-Registrierungsschlüssel unter Windows 10 manuell konfigurieren.

Windows 7 and Windows Server 2008 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5.1 unter Windows 7 und Windows Server 2008 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5.1 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 13. Mai 2014

For Windows Server 2012

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5 unter Windows Server 2012 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5 für Windows 8 und Windows Server 2012: 13. Mai 2014

Windows 8.1 and Windows Server 2012 R2

Informationen zum Aktivieren der starken Kryptografie in .NET Framework 3.5 unter Windows 8.1 und Windows Server 2012 R2 finden Sie im KB-Artikel Hinweise zum Sicherheitsupdate für .NET Framework 3.5 für Windows 8.1 und Windows Server 2012 R2: 13. Mai 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10 and Windows Server 2016

  1. Erstellen Sie im Editor eine Textdatei namens net35-strong-crypto-enable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Speichern Sie die net35-strong-crypto-enable.reg -Datei.

  4. Doppelklicken Sie auf die net35-strong-crypto-enable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

3.7 – Deaktivieren früherer Versionen von SSL und TLS in Windows Schannel

SSL- und TLS-Unterstützung wird in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert oder deaktiviert. Jede SSL- und TLS-Protokollversion kann unabhängig voneinander aktiviert oder deaktiviert werden. Sie müssen keine Protokollversion aktivieren oder deaktivieren, um eine andere Protokollversion zu aktivieren oder zu deaktivieren.

Wichtig

Microsoft empfiehlt, SSL 2.0 und SSL 3.0 aufgrund von schwerwiegende Sicherheitsrisiken in diesen Protokollversionen zu deaktivieren. > Kunden können auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit Software führen, die die neueste TLS-Protokollversion nicht unterstützt. Kunden sollten eine solche Änderung testen, bevor sie in der Produktion ausgeführt wird.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.

So deaktivieren Sie die SSL 2.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl20-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl20-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl20-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die SSL 3.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens ssl30-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die ssl30-disable.reg -Datei.

  4. Doppelklicken Sie auf die ssl30-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.0-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls10-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls10-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls10-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.

So deaktivieren Sie die TLS 1.1-Unterstützung in Windows Schannel

  1. Erstellen Sie im Editor eine Textdatei namens tls11-disable.reg.

  2. Kopieren Sie diese, und fügen Sie den folgenden Text ein.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Speichern Sie die tls11-disable.reg -Datei.

  4. Doppelklicken Sie auf die tls11-disable.reg -Datei.

  5. Klicken Sie auf Yes, um die vorgenommenen Änderungen für Ihre Windows-Registrierung zu speichern.

  6. Starten Sie den Computer neu, damit die Änderung wirksam wird.