Compartilhar via

Suporte para Segurança da Camada de Transporte (TLS) 1.3

  • Artigo

APLICA-SE A:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

O TLS 1.3 é a versão mais recente do protocolo de encriptação TLS. Edição de Assinatura do SharePoint Server por predefinição suporta o TLS 1.3 quando implementado com Windows Server 2022 e 2021-06 Atualização Cumulativa para .NET Framework 3.5 e 4.8 para o sistema operativo do servidor Microsoft x64 (KB5003529).

Observação

O TLS 1.3 não requer qualquer configuração adicional e pode não suportar todo o software e sistemas. A Microsoft recomenda que contacte o seu administrador de software e hardware para marcar compatibilidade do TLS 1.3.

O TLS 1.3 não está disponível e não é suportado quando Edição de Assinatura do SharePoint Server é implementado com versões anteriores do Windows Server. A Microsoft recomenda a implantação da Edição de Assinatura do SharePoint Server com Windows Server 2022 ou superior.

A partir da Versão 25H1, Edição de Assinatura do SharePoint Server utiliza Microsoft.Data.SqlClient para a camada de conectividade da base de dados.
A camada de conectividade da base de dados Microsoft.Data.SqlClient suporta capacidades de segurança avançadas, como o Tabular Data Stream (TDS) Versão 8.0 e TLS Versão 1.3.

Suporte para TDS 8.0

Edição de Assinatura do SharePoint Server suporta o TDS 8.0, mantendo-se também retrocompatível com versões anteriores do SQL Server que não suportam o TDS 8.0. O TDS 8.0 é atualmente suportado pelo SQL Server 2022, SQL do Azure Database e Instância Gerenciada de SQL do Azure.

O TDS 8.0 suporta protocolos de encriptação mais recentes, como o TLS 1.3, que as versões mais antigas do TDS não suportam, mantendo a compatibilidade com versões mais antigas do TLS.

Suporte para TLS 1.3

Edição de Assinatura do SharePoint Server adiciona suporte para ligar a bases de dados SQL com a encriptação de ligação TLS 1.3, mantendo-se também retrocompatível com versões anteriores do SQL Server que não suportam a encriptação de ligação TLS 1.3. O TLS 1.3 é atualmente suportado pelo SQL Server 2022. SQL Server 2022 e as aplicações baseadas no Windows que se ligam à mesma têm de estar em execução no Windows 11 ou Windows Server 2022 (ou superior) para poderem utilizar o TLS 1.3.

Configurações do banco de dados

A camada de conectividade da base de dados tem as seguintes propriedades para cada base de dados do SharePoint (Microsoft.SharePoint.Administration.SPDatabase).

  1. Encrypt (Microsoft.Data.SqlClient.SqlConnectionEncryptOption)

    1. Opcional: a encriptação de ligação pode ser utilizada, se necessário, pelo SQL Server. No entanto, se a encriptação não for exigida pelo SQL Server, não será utilizada nenhuma encriptação de ligação. A ligação está limitada à utilização do TDS 7.4.

    2. Obrigatório: a encriptação de ligação tem de ser estabelecida com o SQL Server. Se não for possível estabelecer a encriptação de ligação, a ligação será bloqueada. A ligação está limitada à utilização do TDS 7.4.

    3. Estrita: a encriptação de ligação tem de ser estabelecida com o SQL Server e a ligação tem de utilizar o TDS 8.0 ou superior. Se não for possível estabelecer a encriptação de ligação com o TDS 8.0 ou superior, a ligação será bloqueada.

  2. HostnameInCert (Cadeia): especifica o nome do anfitrião no certificado de servidor SSL/TLS do SQL Server. Os administradores do farm do SharePoint devem especificar esta propriedade se o nome do anfitrião no certificado não corresponder ao nome do anfitrião ao qual o SharePoint se liga.

Comportamentos ao atualizar um farm com bases de dados existentes

As bases de dados que fazem parte de um farm do SharePoint serão configuradas para utilizar a encriptação Opcional por predefinição. Isto é para garantir que o farm do SharePoint permanece compatível com os SQL Servers existentes no respetivo farm, caso não suportem os protocolos TDS 8.0 e TLS 1.3 mais recentes. Isto significa que o SharePoint continuará a utilizar o TDS 7.4 ao ligar a essas bases de dados. Se a encriptação de ligação for utilizada para ligar a essas bases de dados, será baseada no TLS 1.2 ou inferior.

Comportamentos ao adicionar uma base de dados a um farm

As definições para todas as bases de dados baseiam-se nas definições da base de dados de configuração. As bases de dados recentemente criadas que são adicionadas a um farm estão configuradas para utilizar as mesmas definições de encriptação com a base de dados de configuração do farm. Por exemplo, se a base de dados de configuração utilizar encriptação obrigatória, todas as bases de dados também utilizarão a Encriptação obrigatória.

Especificar definições de encriptação durante o PSConfig

Criar um novo farm

  • Para criar um novo farm, no PowerShell, adicione os seguintes parâmetros opcionais ao New-SPConfigurationDatabase cmdlet:

    -DatabaseConnectionEncryption {Mandatory | Optional | Strict} 
-DatabaseServerCertificateHostName <String>

    Observação

    DatabaseConnectionEncryption é Obrigatório por predefinição, caso não o especifique.

    Por exemplo:

    New-SPConfigurationDatabase -DatabaseName "SharePointConfigDB1" -DatabaseServer "SQL-01" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "MyPassword" -AsPlainText -force) -FarmCredentials (Get-Credential) -LocalServerRole "Application"

  • No PSConfig.exe, adicione os seguintes parâmetros opcionais à operação configdb:

    -dbencryption {Mandatory | Optional | Strict} 
-dbcerthostname <String>

    Observação

    A dbencryption é Obrigatória por predefinição, caso não a especifique.

    Por exemplo:

    psconfig.exe -cmd configdb -create -database "SharePointConfigDB1" -server "SQL-01" -dbencryption "Mandatory" -dbcerthostname "SQL01.internal.contoso.com" -passphrase "the_passphrase" -user "DOMAIN\username" -password "the_password" -localserverrole "Application"

  • No Assistente de Configuração de Produtos SharePoint (PSConfigUI.exe), especifique as definições nos campos Encriptação de ligação da base de dados e Nome do anfitrião do certificado do servidor de base de dados no formulário da base de dados de configuração.

    Captura de ecrã do Assistente de Configuração.

Associar o farm existente

Para aderir ao farm existente, tem de especificar as definições de encriptação que o farm existente está a utilizar da seguinte forma.

  1. Selecione Encriptação de ligação de base de dados como Obrigatória se a base de dados de configuração for Encriptação obrigatória.

  2. Introduza o nome do anfitrião do certificado do servidor de base de dados e clique em Obter Nomes de Bases de Dados.

  3. Em seguida, pode selecionar o farm ao qual pretende associar o segundo servidor.

    Captura de ecrã a mostrar as definições para associar o farm existente.

Além disso, execute o seguinte comando do PowerShell para aderir ao farm:

Connect-SPConfigurationDatabase -DatabaseServer "SQL-01" -DatabaseName "SharePointConfigDB1" -DatabaseConnectionEncryption Mandatory -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "****" -AsPlainText -Force) -LocalServerRole "Application"