Deaktivieren von TLS 1.0 und 1.1 für Microsoft 365
Wichtig
Wir haben TLS 1.0 und 1.1 für die meisten Microsoft 365-Dienste in der weltweiten Umgebung bereits deaktiviert. Für Microsoft 365, betrieben von 21 Vianet, wurde TLS 1.0/1.1 am 30. Juni 2023 deaktiviert.
Seit dem 31. Oktober 2018 sind die Protokolle Transport Layer Security (TLS) 1.0 und 1.1 für den Microsoft 365-Dienst veraltet. Die Auswirkungen für Endbenutzer sind minimal. Diese Änderung wurde seit über zwei Jahren veröffentlicht, mit der ersten öffentlichen Ankündigung im Dezember 2017. Dieser Artikel soll nur den Office 365 lokalen Client in Bezug auf den Office 365-Dienst behandeln, kann aber auch für lokale TLS-Probleme mit Office und Office Online Server/Office Web-Apps gelten.
Für SharePoint und OneDrive müssen Sie .NET aktualisieren und konfigurieren, um TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter Aktivieren von TLS 1.2 auf Clients.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Übersicht über Office 365 und TLS
Der Office-Client nutzt den Windows-Webdienst (WINHTTP), um Datenverkehr über TLS-Protokolle zu senden und zu empfangen. Der Office-Client kann TLS 1.2 verwenden, wenn der Webdienst des lokalen Computers TLS 1.2 verwenden kann. Alle Office-Clients können TLS-Protokolle verwenden, da TLS- und SSL-Protokolle Teil des Betriebssystems und nicht spezifisch für den Office-Client sind.
Auf Windows 8 und höheren Versionen
Standardmäßig sind die Protokolle TLS 1.2 und 1.1 verfügbar, wenn keine Netzwerkgeräte für die Ablehnung von TLS 1.2-Datenverkehr konfiguriert sind.
Unter Windows 7
Die Protokolle TLS 1.1 und 1.2 sind ohne das KB-3140245-Update nicht verfügbar. Das Update behebt dieses Problem und fügt den folgenden Registrierungsunterschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Hinweis
Windows 7-Benutzer, die nicht über dieses Update verfügen, sind ab dem 31. Oktober 2018 betroffen. Kb-3140245 enthält Details zum Ändern der WINHTTP-Einstellungen zum Aktivieren von TLS-Protokollen.
Weitere Informationen
Der Wert des Im KB-Artikel beschriebenen Registrierungsschlüssels DefaultSecureProtocols bestimmt, welche Netzwerkprotokolle verwendet werden können:
DefaultSecureProtocols-Wert | Protokoll aktiviert |
---|---|
0x00000008 | SSL 2.0 standardmäßig aktivieren |
0x00000020 | SSL 3.0 standardmäßig aktivieren |
0x00000080 | TLS 1.0 standardmäßig aktivieren |
0x00000200 | TLS 1.1 standardmäßig aktivieren |
0x00000800 | TLS 1.2 standardmäßig aktivieren |
0x00002000 | Standardmäßiges Aktivieren von TLS 1.3 |
Office-Clients und TLS-Registrierungsschlüssel
Weitere Informationen finden Sie unter KB-4057306 Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365. Dies ist ein allgemeiner Artikel für IT-Administratoren und die offizielle Dokumentation zur Änderung von TLS 1.2.
Die folgende Tabelle zeigt die entsprechenden Registrierungsschlüsselwerte in Office 365 Clients nach dem 31. Oktober 2018.
Aktivierte Protokolle für Office 365 Dienst nach dem 31. Oktober 2018 | Hexadezimalwert |
---|---|
TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
TLS 1.1 + 1.2 | 0x00000A00 |
TLS 1.0 + 1.2 | 0x00000880 |
TLS 1.2 | 0x00000800 |
Wichtig
Verwenden Sie nicht die Protokolle SSL 2.0 und 3.0, die auch mit dem Schlüssel DefaultSecureProtocols festgelegt werden können. SSL 2.0 und 3.0 gelten als veraltete und unsichere Protokolle. Die bewährte Methode besteht darin, die Verwendung von SSL 2.0 und SSL 3.0 zu beenden, obwohl die Entscheidung dafür letztendlich davon abhängt, was Ihre Produktanforderungen am besten erfüllt. Weitere Informationen zu SSL 3.0-Sicherheitsrisiken finden Sie unter KB-3009008.
Sie können den Standard-Windows-Rechner im Programmierermodus verwenden, um die gleichen Referenzregistrierungsschlüsselwerte einzurichten. Weitere Informationen finden Sie unter KB 3140245 Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.
Unabhängig davon, ob das Windows 7-Update (KB 3140245) installiert ist oder nicht, ist der Registrierungsunterschlüssel DefaultSecureProtocols nicht vorhanden und muss manuell oder über ein Gruppenrichtlinienobjekt (GPO) hinzugefügt werden. Das heißt, wenn Sie nicht anpassen müssen, welche sicheren Protokolle aktiviert oder eingeschränkt sind, ist dieser Schlüssel nicht erforderlich. Sie benötigen nur das Update windows 7 SP1 (KB 3140245).
.NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
Sie müssen Anwendungen aktualisieren, die Microsoft 365-APIs über TLS 1.0 oder TLS 1.1 aufrufen, um TLS 1.2 zu verwenden. .NET 4.5 verwendet standardmäßig TLS 1.1. Informationen zum Aktualisieren Ihrer .NET-Konfiguration finden Sie unter Aktivieren von Transport Layer Security (TLS) 1.2 auf Clients.
Weitere Informationen
Weitere Informationen finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.
Verweise
Die folgenden Ressourcen bieten Anleitungen, um sicherzustellen, dass Ihre Clients TLS 1.2 oder eine höhere Version verwenden, und um TLS 1.0 und 1.1 zu deaktivieren:
- Wenn Sie Windows-7-Clients haben, die mit Office 365 verbunden sind, stellen Sie sicher, dass TLS 1.2 die standardmäßigen sicheren Protokolle in WinHTTP in Windows sind. Weitere Informationen finden Sie unter KB-3140245 – Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.
- Informationen zur Behebung schwacher TLS-Nutzung durch Entfernen von TLS 1.0- und 1.1-Abhängigkeiten finden Sie unter TLS 1.2-Unterstützung bei Microsoft.
- Die neue IIS-Funktionalität erleichtert die Suche nach Clients unter Windows Server 2012 R2 und Windows Server 2016, die unter Verwendung von schwachen Sicherheitsprotokollen eine Verbindung mit dem Dienst herstellen.
- Weitere Informationen zum Beheben des TLS 1.0-Problems finden Sie hier.
- Allgemeine Informationen zu unserem Sicherheits-Ansatz finden Sie im Office 365 Trust Center.
- Vorbereiten auf die Einstellung von TLS 1.0/1.1 – Office 365 Skype for Business
- Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2
- Exchange Server TLS-Leitfaden Teil 2: Enabling TLS 1.2 and Identifying Clients Not Using It
- Exchange Server TLS-Leitfaden Teil 3: TLS 1.0/1.1 abschalten
- Aktivieren des TLS 1.1- und TLS 1.2-Supports in Office Online-Server