Compartir a través de


Habilitar la compatibilidad con TLS y SSL en SharePoint 2013

SE APLICA A:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

La compatibilidad con los protocolos TLS 1.1 y 1.2 no está habilitada de forma predeterminada en SharePoint Server 2013. Para habilitar la compatibilidad, tendrá que instalar actualizaciones y cambiar la configuración una vez en cada una de las siguientes ubicaciones:

  1. Servidores de SharePoint en la granja de SharePoint

  2. Servidores de Microsoft SQL Server en la granja de SharePoint

  3. Equipos cliente que se usan para tener acceso a los sitios de SharePoint

Importante

Si no actualiza cada una de estas ubicaciones, corre el riesgo de que los sistemas no puedan conectarse entre sí mediante TLS 1.1 o TLS 1.2. En su lugar, los sistemas recurrirán a un protocolo de seguridad anterior; en el caso de que los protocolos de seguridad anteriores estén deshabilitados, puede que los sistemas no se puedan conectar. > Ejemplo: Puede que los servidores de SharePoint no puedan conectarse a bases de datos de SQL Server o que los equipos cliente no puedan conectarse a los sitios de SharePoint.

Obtenga información sobre el cifrado de datos en OneDrive y SharePoint en Microsoft 365.

Resumen del proceso de actualización

La imagen siguiente muestra el proceso de tres pasos necesario para habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en los servidores de SharePoint, servidores de SQL Server y equipos cliente.

Muestra los pasos para la habilitación de TLS y SSL en los servidores de SharePoint

Paso 1: Actualizar los servidores de SharePoint en la granja de SharePoint

Siga estos pasos para actualizar el servidor de SharePoint.

Pasos de SharePoint Server Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2
1.1: Habilitar TLS 1.1 y TLS 1.2 en Windows Schannel
Obligatorio
N/D
N/D
1.2: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en WinHTTP
Obligatorio
Obligatorio
N/D
1.3: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Internet Explorer
Obligatorio
Obligatorio
N/D
1.4: Instalar la actualización de SQL Server 2008 R2 Native Client para compatibilidad con TLS 1.2
Obligatorio
Obligatorio
Obligatorio
1.5: Instalar .NET Framework 4.6 o una versión posterior
Obligatorio
Obligatorio
Obligatorio
1.6: Habilitar la criptografía segura en .NET Framework 4.6 o una versión superior
Obligatorio
Obligatorio
Obligatorio
Se recomiendan los pasos siguientes. Aunque SharePoint Server 2013 no lo requiere directamente, es posible que sean necesarios para otro software que se integre con SharePoint Server 2013.
1.7: Instalar la actualización de .NET Framework 3.5 para compatibilidad con TLS 1.1 y TLS 1.2
Recomendado
Recomendado
Recomendado
1.8: Habilitar la criptografía segura en .NET Framework 3.5
Recomendado
Recomendado
Recomendado
El siguiente paso es opcional. Puede ejecutar este paso según los requisitos de cumplimiento y seguridad de su organización.
1.9: Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel
Opcional
Opcional
Opcional

1.1: Habilitar TLS 1.1 y TLS 1.2 en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para habilitar la compatibilidad con TLS 1.1 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls11-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Guarde el archivo tls11-enable.reg.

  4. Haga doble clic en el archivo tls11-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para habilitar la compatibilidad con TLS 1.2 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Guarde el archivo tls12-enable.reg.

  4. Haga doble clic en el archivo tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

1.2: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en WinHTTP

WinHTTP no hereda los valores predeterminados de la versión del protocolo de cifrado SSL y TLS del valor del Registro DisabledByDefault de Windows Schannel. WinHTTP usa sus propios valores predeterminados de la versión del protocolo de cifrado SSL y TLS, que varían según el sistema operativo. Para reemplazar los valores predeterminados, debe instalar una actualización de KB y configurar claves del Registro de Windows.

El valor del Registro ** DefaultSecureProtocols ** de WinHTTP es un campo de bits que acepta varios valores al sumarlos en un solo valor. Puede usar el programa Calculadora de Windows (Calc.exe) en modo de programador para sumar los siguientes valores hexadecimales como quiera.

Valor de DefaultSecureProtocols Descripción
0x00000008
Habilita SSL 2.0 de manera predeterminada
0x00000020
Habilita SSL 3.0 de manera predeterminada
0x00000080
Habilita TLS 1.0 de manera predeterminada
0x00000200
Habilita TLS 1.1 de manera predeterminada
0x00000800
Habilita TLS 1.2 de manera predeterminada

Por ejemplo, puede habilitar TLS 1.0, TLS 1.1 y TLS 1.2 de manera predeterminada al sumar los valores 0x00000080, 0x00000200 y 0x00000800 para formar el valor 0x00000A80.

Para instalar la actualización de KB de WinHTTP, siga las instrucciones del artículo de KB Actualización para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows

Para habilitar TLS 1.0, TLS 1.1 y TLS 1.2 de forma predeterminada en WinHTTP

  1. En Notepad.exe, cree un archivo de texto denominado winhttp-tls10-tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Guarde el archivo winhttp-tls10-tls12-enable.reg.

  4. Haga doble clic en el archivo winhttp-tls10-tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

1.3: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Internet Explorer

Las versiones de Internet Explorer anteriores a Internet Explorer 11 no habilitaban la compatibilidad con TLS 1.1 o TLS 1.2 de manera predeterminada. La compatibilidad con TLS 1.1 y TLS 1.2 está habilitada de manera predeterminada a partir de Internet Explorer 11.

Para habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Internet Explorer

  1. En Internet Explorer, haga clic en Herramientas> OpcionesdeInternet Avanzadas> o haga clic en el menú Mostrar configuración de Opcionesavanzadasde Internet de> Internet Explorer>.

  2. En la sección Security, compruebe que están activadas las siguientes casillas; si no lo están, haga clic en las casillas siguientes:

  • Usar TLS 1.1

  • Usar TLS 1.2

  1. De forma opcional, si quiere deshabilitar la compatibilidad con versiones anteriores del protocolo de seguridad, desactive las casillas siguientes:
  • Usar SSL 2.0

  • Usar SSL 3.0

  • Usar TLS 1.0

    Nota:

    Deshabilitar TLS 1.0 puede causar problemas de compatibilidad con sitios que no son compatibles con las versiones del protocolo de seguridad más recientes. Los clientes deben probar este cambio antes de llevarlo a cabo en entornos de producción.

  1. Haga clic en Aceptar.

1.4: Instalar la actualización de SQL Server 2008 R2 Native Client para compatibilidad con TLS 1.2

SQL Server 2008 R2 Native Client no es compatible con TLS 1.1 o TLS 1.2 de manera predeterminada. Debe instalar la actualización de SQL Server 2008 R2 Native Client para compatibilidad con TLS 1.2.

Para instalar la actualización de SQL Server 2008 R2 Native Client, consulte SQL 2008 y 2008 R2 TLS 1.2 SQL Native Client actualizaciones no disponibles en el catálogo de Windows.

1.5: Instalar .NET Framework 4.6 o una versión posterior

SharePoint 2013 requiere .NET Framework 4.6, .NET Framework 4.6.1 o .NET Framework 4.6.2 para admitir TLS 1.2. Microsoft recomienda instalar la última versión de .NET Framework para obtener las últimas mejoras de funcionalidad y confiabilidad.

Para instalar .NET Framework 4.6.2, consulte el artículo de KB El instalador web de .NET Framework 4.6.2 para Windows

Para instalar .NET Framework 4.6.1, consulte el artículo de KB El instalador web de .NET Framework 4.6.1 para Windows

Para instalar .NET Framework 4.6, consulte el artículo de KB Microsoft .NET Framework 4.6 (instalador web) para Windows

1.6: Habilitar la criptografía segura en .NET Framework 4.6 o una versión superior

.NET Framework 4.6 y sus versiones posteriores no heredan los valores predeterminados de la versión del protocolo de cifrado SSL y TLS del valor del Registro DisabledByDefault de Windows Schannel. En su lugar, usa sus propios valores predeterminados de la versión del protocolo de cifrado SSL y TLS. Para reemplazar los valores predeterminados, debe configurar claves del Registro de Windows.

El valor SchUseStrongCrypto del Registro cambia el valor predeterminado de la versión del protocolo de cifrado de .NET Framework 4.6 y versiones posteriores de SSL 3.0 o TLS 1.0 a TLS 1.0, TLS 1.1 o TLS 1.2. Además, restringe el uso de algoritmos de cifrado con TLS que se consideran débiles, como RC4.

Las aplicaciones compiladas para .NET Framework 4.6 o versiones posteriores se comportarán como si el valor SchUseStrongCrypto del Registro se estableciera en 1, incluso si no es así. Para asegurarse de que todas las aplicaciones de .NET Framework usan criptografía segura, debe configurar este valor del Registro de Windows.

Para habilitar la criptografía segura en .NET Framework 4.6 o versiones posteriores

  1. En Notepad.exe, cree un archivo de texto denominado net46-strong-crypto-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Guarde el archivo net46-strong-crypto-enable.reg.

  4. Haga doble clic en el archivo net46-strong-crypto-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

1.7: Instalar la actualización de .NET Framework 3.5 para compatibilidad con TLS 1.1 y TLS 1.2

.NET Framework 3.5 no es compatible con TLS 1.1 o TLS 1.2 de manera predeterminada. Para agregar compatibilidad con TLS 1.1 y TLS 1.2, debe instalar una actualización de KB y después configurar las claves del Registro de Windows de forma manual.

SharePoint 2013 se basa en .NET Framework 4.x y no usa .NET Framework 3.5. En cambio, algunos componentes de requisitos previos y software de terceros que se integran con SharePoint 2013 pueden usar .NET Framework 3.5. Microsoft recomienda instalar y configurar esta actualización para mejorar la compatibilidad con TLS 1.2.

El valor SystemDefaultTlsVersions del Registro define qué valores predeterminados de la versión del protocolo de seguridad se usarán en .NET Framework 3.5. Si el valor se establece en 0, el valor predeterminado de .NET Framework 3.5 será SSL 3.0 or TLS 1.0. Si el valor se establece en 1, .NET Framework 3.5 heredará los valores predeterminados de los valores del Registro DisabledByDefault de Windows Schannel. Si no se define el valor, se comportará como si el valor se estableciera en 0.

** For Windows Server 2008 R2 **

  1. Para instalar la actualización de .NET Framework 3.5.1 para Windows Server 2008 R2, consulte el artículo de KB Compatibilidad con las versiones predeterminadas del sistema de TLS incluidas en .NET Framework 3.5.1 en Windows 7 SP1 y Server 2008 R2 SP1

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

For Windows Server 2012

  1. Para instalar la actualización de .NET Framework 3.5 para Windows Server 2012, consulte el artículo de KB Compatibilidad con las versiones predeterminadas del sistema de TLS incluidas en .NET Framework 3.5 en Windows Server 2012

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

For Windows Server 2012 R2

  1. Para instalar la actualización de .NET Framework 3.5 SP1 para Windows Server 2012 R2, consulte el artículo de KB Compatibilidad con las versiones predeterminadas del sistema de TLS incluidas en .NET Framework 3.5 en Windows 8.1 y Windows Server 2012 R2

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

To manually configure the registry keys, do the following:

  1. En Notepad.exe, cree un archivo de texto denominado net35-tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Guarde el archivo net35-tls12-enable.reg.

  4. Haga doble clic en el archivo net35-tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

1.8: Habilitar la criptografía segura en .NET Framework 3.5

El valor SchUseStrongCrypto del Registro restringe el uso de algoritmos de cifrado con TLS que se consideran débiles, como RC4.

Microsoft ha publicado una actualización de seguridad opcional para .NET Framework 3.5 que configurará las claves del Registro de Windows de forma automática.

Windows Server 2008 R2

Para habilitar la criptografía segura en .NET Framework 3.5.1 en Windows Server 2008 R2, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 3.5.1 en Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1: 13 de mayo de 2014

Windows Server 2012

Para habilitar la criptografía segura en .NET Framework 3.5 en Windows Server 2012, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 3.5 en Windows 8 y Windows Server 2012: 13 de mayo de 2014

Windows Server 2012 R2

Para habilitar la criptografía segura en .NET Framework 3.5 en Windows Server 2012 R2, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 3.5 en Windows 8.1 y Windows Server 2012 R2: 13 de mayo de 2014

1.9: Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

Importante

Microsoft recomienda que se deshabiliten SSL 2.0 y SSL 3.0 debido a graves vulnerabilidades de seguridad en estas versiones del protocolo. > Los clientes también pueden optar por deshabilitar TLS 1.0 y TLS 1.1 para asegurarse de que solo se usa la versión más reciente del protocolo. En cambio, esto puede causar problemas de compatibilidad con software que no es compatible con la versión más reciente del protocolo TLS. Los clientes deben probar este tipo de cambio antes de llevarlo a cabo en entornos de producción.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para deshabilitar la compatibilidad con SSL 2.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado ssl20-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo ssl20-disable.reg.

  4. Haga doble clic en el archivo ssl20-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con SSL 3.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado ssl30-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo ssl30-disable.reg.

  4. Haga doble clic en el archivo ssl30-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con TLS 1.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls10-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo tls10-disable.reg.

  4. Haga doble clic en el archivo tls10-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con TLS 1.1 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls11-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo tls11-disable.reg.

  4. Haga doble clic en el archivo tls11-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Paso 2: Actualizar los servidores de Microsoft SQL Server en la granja de SharePoint

Siga estos pasos para actualizar los servidores de SQL Server en la granja de SharePoint.

Pasos para los servidores de SQL Server Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2
2.1: Habilitar TLS 1.1 y TLS 1.2 en Windows Schannel
Obligatorio
N/D
N/D
2.2: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Microsoft SQL Server
Obligatorio
Obligatorio
Obligatorio
El siguiente paso es opcional. Ejecute este paso según los requisitos de cumplimiento y seguridad de su organización.
2.3: Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel
Opcional
Opcional
Opcional

2.1: Habilitar TLS 1.1 y TLS 1.2 en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para habilitar la compatibilidad con TLS 1.1 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls11-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Guarde el archivo tls11-enable.reg.

  4. Haga doble clic en el archivo tls11-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para habilitar la compatibilidad con TLS 1.2 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Guarde el archivo tls12-enable.reg.

  4. Haga doble clic en el archivo tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

2.2: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Microsoft SQL Server

Las versiones de SQL Server anteriores a SQL Server 2016 no admiten TLS 1.1 o TLS 1.2 de manera predeterminada. Para agregar compatibilidad con TLS 1.1 y TLS 1.2, debe instalar actualizaciones de SQL Server.

Para habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en SQL Server, siga las instrucciones del artículo de KB Compatibilidad de TLS 1.2 con Microsoft SQL Server

2.3: Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

Importante

Microsoft recomienda que se deshabiliten SSL 2.0 y SSL 3.0 debido a graves vulnerabilidades de seguridad en estas versiones del protocolo. > Los clientes también pueden optar por deshabilitar TLS 1.0 y TLS 1.1 para asegurarse de que solo se usa la versión más reciente del protocolo. En cambio, esto puede causar problemas de compatibilidad con software que no es compatible con la versión más reciente del protocolo TLS. Los clientes deben probar este tipo de cambio antes de llevarlo a cabo en entornos de producción.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para deshabilitar la compatibilidad con SSL 2.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado ssl20-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo ssl20-disable.reg.

  4. Haga doble clic en el archivo ssl20-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con SSL 3.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado ssl30-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo ssl30-disable.reg.

  4. Haga doble clic en el archivo ssl30-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con TLS 1.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls10-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo tls10-disable.reg.

  4. Haga doble clic en el archivo tls10-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con TLS 1.1 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls11-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo tls11-disable.reg.

  4. Haga doble clic en el archivo tls11-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Paso 3: Actualizar los equipos cliente que se usan para tener acceso a los sitios de SharePoint

Siga estos pasos para actualizar los equipos cliente que tienen acceso a su sitio de SharePoint.

Pasos para los equipos cliente Windows 7 Windows 8.1 Windows 10
3.1: Habilitar TLS 1.1 y TLS 1.2 en Windows Schannel
Obligatorio
N/D
N/D
3.2: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en WinHTTP
Obligatorio
N/D
N/D
3.3: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Internet Explorer
Obligatorio
N/D
N/D
3.4: Habilitar la criptografía segura en .NET Framework 4.5 o una versión superior
Obligatorio
Obligatorio
Obligatorio
3.5: Instalar la actualización de .NET Framework 3.5 para compatibilidad con TLS 1.1 y TLS 1.2
Obligatorio
Obligatorio
Obligatorio
Se recomienda el paso siguiente. Aunque SharePoint Server 2013 no requiere directamente, proporcionan una mejor seguridad al restringir el uso de algoritmos de cifrado débiles.
3.6: Habilitar la criptografía segura en .NET Framework 3.5
Recomendado
Recomendado
Recomendado
El siguiente paso es opcional. Puede ejecutar este paso según los requisitos de cumplimiento y seguridad de su organización.
3.7: Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel
Opcional
Opcional
Opcional

3.1: Habilitar TLS 1.1 y TLS 1.2 en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para habilitar la compatibilidad con TLS 1.1 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls11-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Guarde el archivo tls11-enable.reg.

  4. Haga doble clic en el archivo tls11-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para habilitar la compatibilidad con TLS 1.2 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    
  3. Guarde el archivo tls12-enable.reg.

  4. Haga doble clic en el archivo tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

3.2: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en WinHTTP

WinHTTP no hereda los valores predeterminados de la versión del protocolo de cifrado SSL y TLS del valor del Registro DisabledByDefault de Windows Schannel. WinHTTP usa sus propios valores predeterminados de la versión del protocolo de cifrado SSL y TLS, que varían según el sistema operativo. Para reemplazar los valores predeterminados, debe instalar una actualización de KB y configurar claves del Registro de Windows.

El valor del Registro ** DefaultSecureProtocols ** de WinHTTP es un campo de bits que acepta varios valores al sumarlos en un solo valor. Puede usar el programa Calculadora de Windows (Calc.exe) en modo de programador para sumar los siguientes valores hexadecimales como quiera.

Valores hexadecimales

Valor de DefaultSecureProtocols Descripción
0x00000008
Habilita SSL 2.0 de manera predeterminada
0x00000020
Habilita SSL 3.0 de manera predeterminada
0x00000080
Habilita TLS 1.0 de manera predeterminada
0x00000200
Habilita TLS 1.1 de manera predeterminada
0x00000800
Habilita TLS 1.2 de manera predeterminada

Por ejemplo, puede habilitar TLS 1.0, TLS 1.1 y TLS 1.2 de manera predeterminada al sumar los valores 0x00000080, 0x00000200 y 0x00000800 para formar el valor 0x00000A80.

Para instalar la actualización de KB de WinHTTP, siga las instrucciones del artículo de KB Actualización para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows

Para habilitar TLS 1.0, TLS 1.1 y TLS 1.2 de forma predeterminada en WinHTTP

  1. En Notepad.exe, cree un archivo de texto denominado winhttp-tls10-tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    

    For 32-bit operating system

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
    "DefaultSecureProtocols"=dword:00000A80
    
  3. Guarde el archivo winhttp-tls10-tls12-enable.reg.

  4. Haga doble clic en el archivo winhttp-tls10-tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

3.3: Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Internet Explorer

Las versiones de Internet Explorer anteriores a Internet Explorer 11 no habilitaban la compatibilidad con TLS 1.1 o TLS 1.2 de manera predeterminada. La compatibilidad con TLS 1.1 y TLS 1.2 está habilitada de manera predeterminada a partir de Internet Explorer 11.

Para habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Internet Explorer

  1. En Internet Explorer, haga clic en Herramientas> OpcionesdeInternet Avanzadas> o haga clic en el menú Mostrar configuración de Opcionesavanzadasde Internet de> Internet Explorer>.

  2. En la sección Security, compruebe que están activadas las siguientes casillas. Si no lo están, haga clic en las casillas siguientes:

  • Usar TLS 1.1

  • Usar TLS 1.2

  1. De forma opcional, si quiere deshabilitar la compatibilidad con versiones anteriores del protocolo de seguridad, desactive las casillas siguientes:
  • Usar SSL 2.0

  • Usar SSL 3.0

  • Usar TLS 1.0

    Nota:

    Deshabilitar TLS 1.0 puede causar problemas de compatibilidad con sitios que no son compatibles con las versiones del protocolo de seguridad más recientes. Los clientes deben probar este cambio antes de llevarlo a cabo en entornos de producción.

  1. Haga clic en Aceptar.

3.4: Habilitar la criptografía segura en .NET Framework 4.5 o una versión superior

.NET Framework 4.5 y versiones posteriores no heredan los valores predeterminados de la versión del protocolo de cifrado SSL y TLS del valor del Registro DisabledByDefault de Windows Schannel. En su lugar, usa sus propios valores predeterminados de la versión del protocolo de cifrado SSL y TLS. Para reemplazar los valores predeterminados, debe configurar claves del Registro de Windows.

El valor SchUseStrongCrypto del Registro cambia el valor predeterminado de la versión del protocolo de seguridad de .NET Framework 4.5 y versiones posteriores de SSL 3.0 o TLS 1.0 a TLS 1.0, TLS 1.1 o TLS 1.2. Además, restringe el uso de algoritmos de cifrado con TLS que se consideran débiles, como RC4.

Las aplicaciones compiladas para .NET Framework 4.6 o versiones posteriores se comportarán como si el valor SchUseStrongCrypto del Registro se estableciera en 1, incluso si no es así. Para asegurarse de que todas las aplicaciones de .NET Framework usan criptografía segura, debe configurar este valor del Registro de Windows.

Microsoft ha publicado una actualización de seguridad opcional para .NET Framework 4.5, 4.5.1 y 4.5.2 que configurará las claves del Registro de Windows de forma automática. No hay actualizaciones disponibles para .NET Framework 4.6 o versiones superiores. Debe configurar las claves del Registro de Windows de forma manual en .NET Framework 4.6 o versiones posteriores.

For Windows 7 and Windows Server 2008 R2

Para habilitar la criptografía segura en .NET Framework 4.5 y 4.5.1 en Windows 7 y Windows Server 2008 R2, vea MS14-026: Vulnerabilidad en .NET Framework podría permitir la elevación de privilegios: 13 de mayo de 2014 (anteriormente publicado como artículo de KB 2938782, "Descripción de la actualización de seguridad para .NET Framework 4.5 y .NET Framework 4.5.1 en Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1: 13 de mayo de 2014").

Para habilitar la criptografía segura en .NET Framework 4.5.2 en Windows 7 y Windows Server 2008 R2, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 4.5.2 en Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1: 13 de mayo de 2014.

For Windows Server 2012

Para habilitar la criptografía segura en .NET Framework 4.5, 4.5.1 y 4.5.2 en Windows Server 2012, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 4.5, .NET Framework 4.5.1 y .NET Framework 4.5.2 en Windows 8, Windows RT y Windows Server 2012: 13 de mayo de 2014.

Windows 8.1 and Windows Server 2012 R2

Para habilitar la criptografía segura en .NET Framework 4.5.1 y 4.5.2 en Windows 8.1 y Windows Server 2012 R2, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 4.5.1 y .NET Framework 4.5.2 en Windows 8.1, Windows RT 8.1 y Windows Server 2012 R2: 13 de mayo de 2014.

Para habilitar la criptografía segura en .NET Framework 4.6 o versiones posteriores

  1. En Notepad.exe, cree un archivo de texto denominado net46-strong-crypto-enable.reg.

  2. Copie y pegue el texto siguiente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Guarde el archivo net46-strong-crypto-enable.reg.

  4. Haga doble clic en el archivo net46-strong-crypto-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

3.5: Instalar la actualización de .NET Framework 3.5 para compatibilidad con TLS 1.1 y TLS 1.2

.NET Framework 3.5 no es compatible con TLS 1.1 o TLS 1.2 de manera predeterminada. Para agregar compatibilidad con TLS 1.1 y TLS 1.2, debe instalar una actualización de KB y después configurar las claves del Registro de Windows de forma manual para cada sistema operativo que se enumera en esta sección.

El valor SystemDefaultTlsVersions del Registro define qué valores predeterminados de la versión del protocolo de seguridad se usarán en .NET Framework 3.5. Si el valor se establece en 0, el valor predeterminado de .NET Framework 3.5 será SSL 3.0 or TLS 1.0. Si el valor se establece en 1, .NET Framework 3.5 heredará los valores predeterminados de los valores del Registro DisabledByDefault de Windows Schannel. Si no se define el valor, se comportará como si el valor se estableciera en 0.

Para habilitar .NET Framework 3.5 para que herede los valores predeterminados del protocolo de cifrado de Windows

Windows 7 and Windows Server 2008 R2

  1. Para instalar la actualización de .NET Framework 3.5.1 para Windows 7 y Windows Server 2008 R2, consulte el artículo de KB Compatibilidad con las versiones predeterminadas del sistema de TLS incluidas en .NET Framework 3.5.1 en Windows 7 SP1 y Server 2008 R2 SP1

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

For Windows Server 2012

  1. Para instalar la actualización de .NET Framework 3.5 para Windows Server 2012, consulte el artículo de KB Compatibilidad con las versiones predeterminadas del sistema de TLS incluidas en .NET Framework 3.5 en Windows Server 2012

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

Windows 8.1 and Windows Server 2012 R2

  1. Para instalar la actualización de .NET Framework 3.5 SP1 para Windows 8.1 y Windows Server 2012 R2, consulte el artículo de KB Compatibilidad con las versiones predeterminadas del sistema de TLS incluidas en .NET Framework 3.5 en Windows 8.1 y Windows Server 2012 R2

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

Windows 10 (Version 1507)

Windows 10 (Version 1511)

  1. Para instalar la Actualización acumulativa para Windows 10 versión 1511 y Windows Server 2016 Technical Preview 4: 10 de mayo de 2016, consulte Actualización acumulativa para Windows 10 versión 1511 y Windows Server 2016 Technical Preview 4: 10 de mayo de 2016.

  2. Después de instalar la actualización de KB, configure las claves del Registro de forma manual.

Windows 10 (Version 1607) and Windows Server 2016

No hay que instalar ninguna actualización. Configure las claves del Registro de Windows como se describe a continuación.

To manually configure the registry keys, do the following:

  1. En Notepad.exe, cree un archivo de texto denominado net35-tls12-enable.reg.

  2. Copie y pegue el texto siguiente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001
    
  3. Guarde el archivo net35-tls12-enable.reg.

  4. Haga doble clic en el archivo net35-tls12-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

3.6: Habilitar la criptografía segura en .NET Framework 3.5

El valor SchUseStrongCrypto del Registro restringe el uso de algoritmos de cifrado con TLS que se consideran débiles, como RC4.

Microsoft ha publicado una actualización de seguridad opcional para .NET Framework 3.5 en sistemas operativos anteriores a Windows 10 que configurará las claves del Registro de Windows de forma automática. No hay actualizaciones disponibles para Windows 10. Debe configurar las claves del Registro de Windows de forma manual en Windows 10.

Windows 7 and Windows Server 2008 R2

Para habilitar la criptografía segura en .NET Framework 3.5.1 en Windows 7 y Windows Server 2008 R2, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 3.5.1 en Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1: 13 de mayo de 2014

For Windows Server 2012

Para habilitar la criptografía segura en .NET Framework 3.5 en Windows Server 2012, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 3.5 en Windows 8 y Windows Server 2012: 13 de mayo de 2014

Windows 8.1 and Windows Server 2012 R2

Para habilitar la criptografía segura en .NET Framework 3.5 en Windows 8.1 y Windows Server 2012 R2, consulte el artículo de KB Descripción de la actualización de seguridad para .NET Framework 3.5 en Windows 8.1 y Windows Server 2012 R2: 13 de mayo de 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10 and Windows Server 2016

  1. En Notepad.exe, cree un archivo de texto denominado net35-strong-crypto-enable.reg.

  2. Copie y pegue el texto siguiente.

    For 64-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    

    For 32-bit operating system

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SchUseStrongCrypto"=dword:00000001
    
  3. Guarde el archivo net35-strong-crypto-enable.reg.

  4. Haga doble clic en el archivo net35-strong-crypto-enable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

3.7: Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

Importante

Microsoft recomienda que se deshabiliten SSL 2.0 y SSL 3.0 debido a graves vulnerabilidades de seguridad en estas versiones del protocolo. > Los clientes también pueden optar por deshabilitar TLS 1.0 y TLS 1.1 para asegurarse de que solo se usa la versión más reciente del protocolo. En cambio, esto puede causar problemas de compatibilidad con software que no es compatible con la versión más reciente del protocolo TLS. Los clientes deben probar este tipo de cambio antes de llevarlo a cabo en entornos de producción.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para deshabilitar la compatibilidad con SSL 2.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado ssl20-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo ssl20-disable.reg.

  4. Haga doble clic en el archivo ssl20-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con SSL 3.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado ssl30-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo ssl30-disable.reg.

  4. Haga doble clic en el archivo ssl30-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con TLS 1.0 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls10-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo tls10-disable.reg.

  4. Haga doble clic en el archivo tls10-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.

Para deshabilitar la compatibilidad con TLS 1.1 en Windows Schannel

  1. En Notepad.exe, cree un archivo de texto denominado tls11-disable.reg.

  2. Copie y pegue el texto siguiente.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    
  3. Guarde el archivo tls11-disable.reg.

  4. Haga doble clic en el archivo tls11-disable.reg.

  5. Haga clic en Yes para actualizar el Registro de Windows con estos cambios.

  6. Para que los cambios surtan efecto, reinicie el equipo.