Office Online Serverで TLS 1.1 および TLS 1.2 以降のサポートを有効にする
概要:この記事では、Office Online Serverでトランスポート層セキュリティ (TLS) プロトコル バージョン 1.1 および 1.2 以降を有効にする方法について説明します。
Office Online Server環境で TLS プロトコル バージョン 1.1 および 1.2 以降を有効にするには、Office Online Server ファーム内の各サーバーで設定を構成する必要があります。
構成プロセスには、セキュリティ プロトコルを有効または無効にするために、複数のレジストリ キーを設定することが含まれます。 手動で、または .reg ファイルを使用して、レジストリにこれらの更新を適用することができますが、組織全体でこれらのプロトコルを構成している場合は特に、これらの設定を管理するグループ ポリシー オブジェクトを作成することをお勧めします。
この記事で説明している基本的な手順は次の通りです。
- .NET Frameworkで強力な暗号化を有効にします。
注:
2021 年 7 月の累積的なセキュリティ更新プログラム (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) の時点では、この手順は必要ありません。 このパッチを適用するすべてのユーザーは、この手順をスキップできます。
- (省略可能) 以前のバージョンの SSL および TLS の無効化
注:
Office Online Serverで TLS 1.1 以降と TLS 1.2 以降を使用するには、Office Online Server ファーム内の各コンピューターで Windows Server で TLS 1.1 および TLS 1.2 以降を有効にする必要があります。 Windows Server 2012 R2 に対して、既定で有効になります。
Office Online Server ファーム内の各サーバーでこれらの手順を実行します。
.NET Framework 4.5 以降での強力な暗号化の有効化
注:
2021 年 7 月の累積的なセキュリティ更新プログラム (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) の時点では、この手順は必要ありません。 このパッチを適用するすべてのユーザーは、この手順をスキップできます。
Office Online Serverで TLS 1.1 および TLS 1.2 以降を使用するには、.NET Framework 4.5 以降で強力な暗号化が必要です。 .NET Framework 4.5 以降で強力な暗号化を有効にするには、次のレジストリ キーを追加します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
Windows Schannel での以前のバージョンの SSL および TLS の無効化
SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。
重要
SSL 2.0 および SSL 3.0 のプロトコル バージョンはセキュリティ上の重大な脆弱性があるため、無効にすることをお勧めします。 > また、TLS 1.0 と TLS 1.1 を無効にして、最新のプロトコル バージョンのみが使用されるようにすることもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。
Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。
DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。
Windows Schannel での SSL 2.0 サポートを無効にするには、次のレジストリ キーを追加します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Windows Schannel での SSL 3.0 サポートを無効にするには、次のレジストリ キーを追加します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Windows Schannel での TLS 1.0 サポートを無効にするには、次のレジストリ キーを追加します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Windows Schannel での TLS 1.1 サポートを無効にするには、次のレジストリ キーを追加します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000