Activer la prise en charge de TLS 1.1 et TLS 1.2 et ultérieur dans Office Online Server
Résumé: Cet article explique comment activer le protocole TLS (Transport Layer Security) versions 1.1 et 1.2 et ultérieures dans Office Online Server.
Pour activer les versions 1.1 et 1.2 et ultérieures du protocole TLS dans votre environnement Office Online Server, vous devez configurer les paramètres sur chaque serveur de votre batterie de Office Online Server.
Le processus de configuration implique la définition d’un certain nombre de clés de Registre pour activer ou désactiver les protocoles de sécurité. Bien que vous puissiez effectuer ces mises à jour du Registre manuellement ou à l’aide d’un fichier .reg, nous vous recommandons de créer des objets de stratégie de groupe pour gérer ces paramètres, en particulier si vous configurez ces protocoles dans votre organization.
Voici les étapes essentielles expliquées dans cet article :
- Activez le chiffrement fort dans .NET Framework.
Remarque
À compter de la mise à jour de sécurité cumulative de juillet 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), cette étape n’est pas obligatoire. Toute personne qui applique ce correctif peut ignorer cette étape.
- (Facultatif) Désactiver les versions antérieures de SSL et TLS
Remarque
L’utilisation de TLS 1.1 et TLS 1.2 et versions ultérieures avec Office Online Server nécessite que TLS 1.1 et TLS 1.2 versions ultérieures soient activés sur Windows Server pour chaque ordinateur de votre batterie de Office Online Server. Ils sont activés par défaut pour Windows Server 2012 R2.
Suivez ces étapes sur chaque serveur dans votre batterie Office Online Server.
Activer le chiffrement fort dans .NET Framework 4.5 ou version ultérieure
Remarque
À compter de la mise à jour de sécurité cumulative de juillet 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), cette étape n’est pas obligatoire. Toute personne qui applique ce correctif peut ignorer cette étape.
L’utilisation de TLS 1.1 et TLS 1.2 et versions ultérieures avec Office Online Server nécessite un chiffrement fort dans .NET Framework 4.5 ou version ultérieure. Pour activer le chiffrement fort dans .NET Framework 4.5 ou version ultérieure, ajoutez les clés de Registre suivantes :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
Désactiver les versions antérieures de SSL et TLS dans Windows Schannel
La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.
Importante
Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole. > Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour s’assurer que seule la version de protocole la plus récente est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l'effectuer en production.
La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l'application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.
La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s'applique uniquement lorsque l'application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.
Pour désactiver la prise en charge du protocole SSL 2.0 dans Windows Schannel, ajoutez les clés de Registre suivantes :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Pour désactiver la prise en charge du protocole SSL 3.0 dans Windows Schannel, ajoutez les clés de Registre suivantes :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Pour désactiver la prise en charge du protocole TLS 1.0 dans Windows Schannel, ajoutez les clés de Registre suivantes :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Pour désactiver la prise en charge du protocole TLS 1.1 dans Windows Schannel, ajoutez les clés de Registre suivantes :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000