Starke TLS (Transport Layer Security)-Verschlüsselung
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Secure Socket Layer (SSL) / Transport Layer Security (TLS) verschlüsselt Daten zwischen einem Client und einem Server, aber einige Verschlüsselungstypen sind stärker als andere. SharePoint Server nutzt die erweiterten Sicherheitsfunktionen von Windows Server 2022, um sicherzustellen, dass TLS-Verbindungen mit dem Server nur die stärkste Verschlüsselung verwenden.
SharePoint Server konfiguriert sich selbst, um die mindestanforderungen für TLS-Version und Verschlüsselungssammlungen gemäß Abschnitt 9.2 von RFC 7540 für die SSL-Bindungen zu erzwingen, unabhängig von der HTTP-Version, die von der Verbindung verwendet wird.
Insbesondere gilt:
Die ausgehandelte SSL/TLS-Protokollversion muss TLS 1.2 oder höher sein. TLS-Protokollversionen niedriger als TLS 1.2 und alle SSL-Protokollversionen werden für Verbindungen blockiert, die mit den SSL-Bindungen hergestellt werden.
Die ausgehandelte TLS-Verschlüsselungssammlung muss die Verschlüsselungsmodi Forward Secrecy und Authenticated Encryption with Associated Data (AEAD) wie GCM unterstützen. Verschlüsselungssammlungen, die keine Weiterleitungsgeheimnisse bieten, oder Verschlüsselungssammlungen, die auf NULL-, schwachen Streamchiffren (z. B. RC4) oder Blockchiffrmodi (z. B. CBC) basieren, werden für Verbindungen mit ihren SSL-Bindungen blockiert.
Diese Anforderungen gelten standardmäßig für alle SharePoint-Webanwendungen, die eine SSL-Bindung und die SSL-Bindung der IIS-Website "SharePoint-Webdienste" verwenden, auf der SharePoint-Dienstanwendungsendpunkte gehostet werden. Wenn Kunden die Legacyverschlüsselung weiterhin aus Gründen der Abwärtskompatibilität unterstützen müssen (z. B. ältere TLS-Protokollversionen und Verschlüsselungssammlungen), können sie dies über die Einstellung "Legacyverschlüsselung zulassen" in der Zentraladministration konfigurieren. Sie kann auch über den Parameter -AllowLegacyEncryption in den folgenden PowerShell cmdlets
Befehlszeilentools und konfiguriert werden:
New-SPWebApplication
New-SPWebApplicationExtension
Set-SPWebApplication
("Zone"-Parametersatz)New-SPCentralAdministration
Set-SPCentralAdministration
Set-SPServiceHostConfig
PSConfig.exe -cmd adminvs
Hinweis
Die starke TLS-Verschlüsselung ist standardmäßig nicht verfügbar, wenn SharePoint Server-Abonnementedition mit früheren Versionen von Windows Server bereitgestellt wird. Microsoft empfiehlt die Bereitstellung von SharePoint Server-Abonnementedition mit Windows Server 2022 oder höher.