Habilitar o suporte a TLS 1.1 e TLS 1.2 no SharePoint Server 2019

APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365

O SharePoint Server 2019 suporta as versões de protocolo TLS 1.0, 1.1 e 1.2 por predefinição. No entanto, para ativar o suporte ponto a ponto para as versões 1.1 e 1.2 do protocolo TLS no seu ambiente do SharePoint 2019, poderá ter de instalar atualizações ou alterar as definições de configuração nas seguintes localizações:

1. Servidores do SharePoint em seu farm do SharePoint

2. Microsoft SQL Servers em seu farm do SharePoint

3. Computadores clientes usados para acessar seus sites do SharePoint

Importante

[!IMPORTANTE] Se você não atualizar cada um desses locais, correrá o risco de os sistemas não conseguirem se conectar entre si usando TLS 1.1 ou TLS 1.2. Os sistemas voltarão para um protocolo de segurança mais antigo; e, se os protocolos de segurança mais antigos estiverem desativados, os sistemas poderão não se conectar completamente.

Exemplo: Os computadores cliente podem não conseguir ligar-se aos seus sites do SharePoint.

Resumo do processo de atualização

A imagem a seguir mostra o processo de três etapas necessárias para habilitar o suporte a TLS 1.1 e TLS 1.2 nos servidores do SharePoint, servidores SQL e computadores cliente.

Etapa 1: Atualizar os servidores do SharePoint em seu farm do SharePoint

O SharePoint Server 2019 suporta as versões de protocolo TLS 1.0, 1.1 e 1.2 por predefinição. Não são necessárias alterações nos servidores do SharePoint no farm para ativar o suporte do TLS 1.1 ou TLS 1.2. Siga este passo para atualizar o seu servidor do SharePoint se pretender desativar determinadas versões do protocolo TLS.

Etapas para o SharePoint Server	Windows Server 2016	Windows Server 2019
A etapa a seguir é opcional. Você pode optar por executar esta etapa com base nos requisitos de conformidade e segurança da sua organização.
1.0 - Desativar versões anteriores do TLS no Windows Schannel	Opcional	Opcional

1.0 - Desativar versões anteriores do TLS no Windows Schannel

Para habilitar ou desabilitar o suporte do SSL e do TLS no Windows SChannel, é necessário editar o Registro do Windows. É possível habilitar ou desabilitar cada versão dos protocolos SSL e TLS de forma independente. Não é necessário habilitar ou desabilitar uma versão para habilitar ou desabilitar outra versão do protocolo.

Importante

SSL 2.0 e SSL 3.0 estão desativados por predefinição no Windows Server 2016 e Windows Server 2019 devido a graves vulnerabilidades de segurança nessas versões de protocolo.

Os clientes também podem optar por desabilitar o TLS 1.0 e o TLS 1.1 para garantir o uso exclusivo da versão mais recente do protocolo. No entanto, isso pode causar problemas de compatibilidade com um software que não seja compatível com a versão mais recente do protocolo TLS. Os clientes devem testar uma alteração, antes de realizá-la na produção.

O valor de registro Enabled determina se é possível usar a versão do protocolo. Se o valor for definido como 0, não será possível usar a versão do protocolo, mesmo que ela esteja habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Quando o valor é definido como 1, é possível usar a versão do protocolo se ela estiver habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

O valor de registro DisabledByDefault determina quando usar a versão do protocolo por padrão. Essa configuração se aplica somente quando o aplicativo não exige explicitamente as versões do protocolo a ser usado. Se o valor for definido como 0, a versão do protocolo será usada por padrão. Se o valor for definido como 1, a versão do protocolo não será usada por padrão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

Para desabilitar o suporte do TLS 1.0 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls10-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo tls10-disable.reg.

4. Clique duas vezes em tls10-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Para desabilitar o suporte do TLS 1.1 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls11-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo tls11-disable.reg.

4. Clique duas vezes no arquivo tls11-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Etapa 2: Atualizar seus Microsoft SQL Servers em seu farm do SharePoint

O SQL Server 2016 e o SQL Server 2017 suportam as versões de protocolo TLS 1.0, 1.1 e 1.2 por predefinição no Windows Server 2016 e Windows Server 2019. Não são necessárias alterações nos servidores SQL no farm do SharePoint para ativar o suporte do TLS 1.1 ou TLS 1.2. Para obter mais informações sobre o suporte do TLS no SQL Server, veja o artigo da BDC Suporte do TLS 1.2 para o Microsoft SQL Server.

Siga este passo para atualizar os SQL Servers no farm do SharePoint se pretender desativar determinadas versões do protocolo TLS.

Etapas para seus SQL Servers	Windows Server 2016	Windows Server 2019
A etapa a seguir é opcional. Você pode optar por executar esta etapa com base nos requisitos de conformidade e segurança da sua organização.
2.1 - Desativar versões anteriores do TLS no Windows Schannel	Opcional	Opcional

2.1 - Desativar versões anteriores do TLS no Windows Schannel

Para habilitar ou desabilitar o suporte do SSL e do TLS no Windows SChannel, é necessário editar o Registro do Windows. É possível habilitar ou desabilitar cada versão dos protocolos SSL e TLS de forma independente. Não é necessário habilitar ou desabilitar uma versão para habilitar ou desabilitar outra versão do protocolo.

Importante

SSL 2.0 e SSL 3.0 estão desativados por predefinição no Windows Server 2016 e Windows Server 2019 devido a graves vulnerabilidades de segurança nessas versões de protocolo.

Os clientes também podem optar por desabilitar o TLS 1.0 e o TLS 1.1 para garantir o uso exclusivo da versão mais recente do protocolo. No entanto, isso pode causar problemas de compatibilidade com um software que não seja compatível com a versão mais recente do protocolo TLS. Os clientes devem testar uma alteração, antes de realizá-la na produção.

O valor de registro Enabled determina se é possível usar a versão do protocolo. Se o valor for definido como 0, não será possível usar a versão do protocolo, mesmo que ela esteja habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Quando o valor é definido como 1, é possível usar a versão do protocolo se ela estiver habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

O valor de registro DisabledByDefault determina quando usar a versão do protocolo por padrão. Essa configuração se aplica somente quando o aplicativo não exige explicitamente as versões do protocolo a ser usado. Se o valor for definido como 0, a versão do protocolo será usada por padrão. Se o valor for definido como 1, a versão do protocolo não será usada por padrão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

Para desabilitar o suporte do TLS 1.0 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls10-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo tls10-disable.reg.

4. Clique duas vezes no arquivo tls10-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Para desabilitar o suporte do TLS 1.1 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls11-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo tls11-disable.reg.

4. Clique duas vezes no arquivo tls11-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Etapa 3: Atualizar os computadores clientes usados para acessar seus sites do SharePoint

Siga estas etapas para atualizar os computadores clientes que acessam seu site do SharePoint.

Etapas para os computadores clientes	Windows 7	Windows 8.1	Windows 10
3.1 - Habilitar TLS 1.1 e TLS 1.2 no Windows Schannel	Obrigatório	N/D	N/D
3.2 - Habilitar o suporte a TLS 1.1 e TLS 1.2 no WinHTTP	Obrigatório	N/D	N/D
3.3 - Habilitar o suporte a TLS 1.1 e TLS 1.2 no Internet Explorer	Obrigatório	N/D	N/D
3.4 - Habilitar uma criptografia forte no .NET Framework 4.5 ou superior	Obrigatório	Obrigatório	Obrigatório
3.5 - Instalar a atualização do .NET Framework 3.5 para obter suporte para TLS 1.1 e TLS 1.2	Obrigatório	Obrigatório	Obrigatório
A etapa a seguir é recomendada. Apesar de não serem diretamente exigidos pelo SharePoint Server 2019, proporcionam uma melhor segurança ao restringir a utilização de algoritmos de encriptação fracos.
3.6 - Habilitar uma criptografia forte no .NET Framework 3.5	Recomendado	Recomendado	Recomendado
A etapa a seguir é opcional. Você pode optar por executar esta etapa com base nos requisitos de conformidade e segurança da sua organização.
3.7 - Desabilitar versões anteriores do SSL e do TLS no Windows Schannel	Opcional	Opcional	Opcional

3.1 - Habilitar TLS 1.1 e TLS 1.2 no Windows Schannel

Para habilitar ou desabilitar o suporte do SSL e do TLS no Windows SChannel, é necessário editar o Registro do Windows. É possível habilitar ou desabilitar cada versão dos protocolos SSL e TLS de forma independente. Não é necessário habilitar ou desabilitar uma versão para habilitar ou desabilitar outra versão do protocolo.

O valor de registro Enabled determina se é possível usar a versão do protocolo. Se o valor for definido como 0, não será possível usar a versão do protocolo, mesmo que ela esteja habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Quando o valor é definido como 1, é possível usar a versão do protocolo se ela estiver habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

O valor de registro DisabledByDefault determina quando usar a versão do protocolo por padrão. Essa configuração se aplica somente quando o aplicativo não exige explicitamente as versões do protocolo a ser usado. Se o valor for definido como 0, a versão do protocolo será usada por padrão. Se o valor for definido como 1, a versão do protocolo não será usada por padrão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

Para habilitar o suporte do TLS 1.1 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls11-enable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00 
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Salve o arquivo tls11-enable.reg.

4. Clique duas vezes no arquivo tls11-enable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Para habilitar o suporte do TLS 1.2 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls12-enable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. Salve o arquivo tls12-enable.reg.

4. Clique duas vezes no arquivo tls12-enable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

3.2 - Habilitar o suporte a TLS 1.1 e TLS 1.2 no WinHTTP

O WinHTTP não herda seus padrões de versão de protocolo de criptografia SSL e TLS do valor de Registro DisabledByDefault do Windows Schannel. O WinHTTP usa seus próprios padrões de versão de protocolo de criptografia SSL e TLS, que variam de acordo com o sistema operacional. Para substituir os padrões, você deverá instalar uma atualização da KB e configurar as chaves do Registro do Windows.

O valor de Registro DefaultSecureProtocols do WinHTTP é um campo de bits que aceita vários valores adicionando-os juntos em um único valor. Você pode usar o programa Calculadora do Windows (Calc.exe) no modo Programador para adicionar os seguintes valores hexadecimais conforme o desejado.

Valor DefaultSecureProtocols	Descrição
0x00000008	Habilitar SSL 2.0 por padrão
0x00000020	Habilitar SSL 3.0 por padrão
0x00000080	Habilitar TLS 1.0 por padrão
0x00000200	Habilitar TLS 1.1 por padrão
0x00000800	Habilitar TLS 1.2 por padrão

Por exemplo, você pode habilitar o TLS 1.0, o TLS 1.1 e o TLS 1.2 por padrão adicionando os valores 0x00000080, 0x00000200 e 0x00000800 para formar o valor 0x00000A80.

Para instalar a atualização da KB do WinHTTP, siga as instruções do artigo da KB Atualizar para habilitar o TLS 1.1 e TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows

Para habilitar o TLS 1.0, o TLS 1.1 e o TLS 1.2 por padrão no WinHTTP

1. No Notepad.exe, crie um arquivo de texto chamado winhttp-tls10-tls12-enable.reg.

2. Copie e cole o texto a seguir.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

3. Salve o arquivo winhttp-tls10-tls12-enable.reg.

4. Clique duas vezes no arquivo winhttp-tls10-tls12-enable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

3.3 - Habilitar o suporte a TLS 1.1 e TLS 1.2 no Internet Explorer

As versões do Internet Explorer anteriores ao Internet Explorer 11 não habilitavam o suporte a TLS 1.1 ou TLS 1.2 por padrão. O suporte para TLS 1.1 e TLS 1.2 está habilitado por padrão a partir do Internet Explorer 11.

Para habilitar o suporte a TLS 1.1 e TLS 1.2 no Internet Explorer

1. No Internet Explorer, clique em Ferramentas>Opções>da Internet Avançadas ou clique >Opções avançadas> da Internet.

2. Na seção Security, verifique se as seguintes caixas de seleção estão marcadas. Se não estiverem, marque as seguintes caixas de seleção:

• Usar TLS 1.1

• Usar TLS 1.2

3. Opcionalmente, se você quiser desabilitar o suporte para versões do protocolo de segurança anterior, desmarque as caixas de seleção a seguir:

• Usar SSL 2.0

• Usar SSL 3.0

• Usar TLS 1.0

  Observação

  [!OBSERVAçãO] Desabilitar o TLS 1.0 pode causar problemas de compatibilidade com sites que não dão suporte para as versões mais recentes do protocolo de segurança. Os clientes devem testar essa alteração antes de realizá-la na produção.

4. Clique em OK.

3.4 - Habilitar uma criptografia forte no .NET Framework 4.5 ou superior

O .NET Framework 4.5 ou superior não herda seus padrões de versão de protocolo de segurança SSL e TLS do valor de Registro DisabledByDefault do Windows Schannel. Em vez disso, ele usa seus próprios padrões de versão de protocolo de segurança SSL e TLS. Para substituir os padrões, você deverá configurar as chaves do Registro do Windows.

O valor de Registro SchUseStrongCrypto altera o padrão de versão de protocolo de segurança do .NET Framework 4.5 e superior de SSL 3.0 ou TLS 1.0 para TLS 1.0 ou TLS 1.1 ou TLS 1.2. Além disso, ele restringe o uso de algoritmos de criptografia com TLS que são considerados fracos como o RC4.

Os aplicativos compilados para o .NET Framework 4.6 ou superior se comportarão como se o valor de Registro SchUseStrongCrypto tiver sido definido como 1, mesmo se ainda não tiver. Para garantir que todos os aplicativos do .NET Framework usará a criptografia forte, você deverá configurar esse valor do Registro do Windows.

A Microsoft lançou uma atualização de segurança opcional para o .NET Framework 4.5, 4.5.1 e 4.5.2 que configurará automaticamente as chaves do Registro do Windows para você. Não há atualização disponível para .NET Framework 4.6 ou superior. Você deve configurar manualmente as chaves do Registro do Windows no .NET Framework 4.6 ou superior.

For Windows 7 and Windows Server 2008 R2

• Para ativar uma criptografia forte no .NET Framework 4.5 e 4.5.1 no Windows 7 e Windows Server 2008 R2, consulte MS14-026: Vulnerabilidade no .NET Framework pode permitir elevação de privilégios: 13 de maio de 2014 (anteriormente publicado como KB artigo 2938782, "Descrição da atualização de segurança para o .NET Framework 4.5 e o .NET Framework 4.5.1 no Windows 7 Service Pack 1 e Windows Server 2008 R2 Service Pack 1: 13 de maio de 2014").

• Para habilitar a criptografia forte no .NET Framework 4.5.2 no Windows 7 e no Windows Server 2008 R2, veja o artigo da KB Descrição da atualização de segurança do .NET Framework 4.5.2 no Windows 7 Service Pack 1 e no Windows Server 2008 R2 Service Pack 1: 13 de maio de 2014.

For Windows Server 2012

• Para habilitar uma criptografia forte no .NET Framework 4.5, 4.5.1 e no 4.5.2 no Windows Server 2012, veja o artigo da KB Descrição da atualização de segurança do .NET Framework 4.5, do .NET Framework 4.5.1 e do .NET Framework 4.5.2 no Windows 8, no Windows RT e no Windows Server 2012: 13 de maio de 2014.

For Windows 8.1 and Windows Server 2012 R2

• Para habilitar a criptografia forte no .NET Framework 4.5.1 e no 4.5.2 no Windows 8.1 e no Windows Server 2012 R2, veja o artigo da KB Descrição da atualização de segurança do .NET Framework 4.5.1 e do .NET Framework 4.5.2 no Windows 8.1, no Windows RT 8.1 e no Windows Server 2012 R2: 13 de maio de 2014.

Para habilitar uma criptografia forte no .NET Framework 4.6 ou superior

1. No Notepad.exe, crie um arquivo de texto chamado net46-strong-crypto-enable.reg.

2. Copie e cole o texto a seguir.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

3. Salve o arquivo net46-strong-crypto-enable.reg.

4. Clique duas vezes no arquivo net46-strong-crypto-enable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

3.5 - Instalar a atualização do .NET Framework 3.5 para obter suporte para TLS 1.1 e TLS 1.2

O .NET Framework 3.5 não dá suporte a TLS 1.1 ou TLS 1.2 por padrão. Para adicionar suporte para TLS 1.1 e TLS 1.2, você deverá instalar uma atualização da KB e configurar chaves do Registro do Windows para cada um dos sistemas operacionais listados nesta seção.

O valor de Registro do SystemDefaultTlsVersions define quais padrões da versão do protocolo de segurança serão usados pelo .NET Framework 3.5. Se o valor for definido como 0, o .NET Framework 3.5 terá como padrão SSL 3.0 or TLS 1.0. Se o valor for definido como 1, o .NET Framework 3.5 herdará seus padrões dos valores do Registro DisabledByDefault do Windows Schannel. Se o valor for indefinido, ele se comportará como se o valor estivesse definido como 0.

Para habilitar o .NET Framework 3.5 para herdar seus padrões de protocolo de criptografia do Windows Schannel

For Windows 7 and Windows Server 2008 R2

1. Para instalar a atualização do .NET Framework 3.5.1 para o Windows 7 e o Windows Server 2008 R2, veja o artigo da KB Suporte para versões padrão do sistema de TLS incluídas no .NET Framework 3.5.1 no Windows 7 SP1 e no Server 2008 R2 SP1

2. Após a atualização da KB ser instalada, configure manualmente as chaves do Registro.

For Windows Server 2012

1. Para instalar a atualização do .NET Framework 3.5 para o Windows Server 2012, veja o artigo da KB Suporte para versões padrão do sistema de TLS incluídas no .NET Framework 3.5 no Windows Server 2012

2. Após a atualização da KB ser instalada, configure manualmente as chaves do Registro.

For Windows 8.1 and Windows Server 2012 R2

1. Para instalar a atualização do .NET Framework 3.5 SP1 para o Windows 8.1 e o Windows Server 2012 R2, veja o artigo da KB Suporte para versões padrão do sistema de TLS incluídas no .NET Framework 3.5 no Windows 8.1 e no Windows Server 2012 R2

2. Após a atualização da KB ser instalada, configure manualmente as chaves do Registro.

For Windows 10 (Version 1507)

• Esta funcionalidade não está disponível no Windows 10 versão 1507. Você deve atualizar para o Windows 10 versão 1511 e, em seguida, instalar a Atualização cumulativa para o Windows 10 versão 1511 e o Windows Server 2016 Technical Preview 4: 10 de maio de 2016 ou atualizar para o Windows 10 versão 1607 ou posterior.

For Windows 10 (Version 1511)

1. Para instalar a Atualização cumulativa para o Windows 10 versão 1511 e o Windows Server 2016 Technical Preview 4: 10 de maio de 2016, veja a Atualização cumulativa para o Windows 10 versão 1511 e o Windows Server 2016 Technical Preview 4: 10 de maio de 2016.

2. Após a atualização da KB ser instalada, configure manualmente as chaves do Registro.

Windows 10 (Versão 1607) e superior, Windows Server 2016 e Windows Server 2019

Nenhuma atualização precisa estar instalada. Configure as chaves do Registro do Windows, conforme descrito abaixo.

To manually configure the registry keys, do these steps.

1. No Notepad.exe, crie um arquivo de texto chamado net35-tls12-enable.reg.

2. Copie e cole o texto a seguir.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

3. Salve o arquivo net35-tls12-enable.reg.

4. Clique duas vezes no arquivo net35-tls12-enable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

3.6 - Habilitar uma criptografia forte no .NET Framework 3.5

O valor de Registro SchUseStrongCrypto restringe o uso de algoritmos de criptografia com TLS que são considerados fracos como o RC4.

A Microsoft lançou uma atualização de segurança opcional para o .NET Framework 3.5 nos sistemas operacionais anteriores ao Windows 10 que configurará automaticamente as chaves do Registro do Windows para você. Não há atualização disponível para o Windows 10. Você deve configurar manualmente as chaves do Registro do Windows no Windows 10.

For Windows 7 and Windows Server 2008 R2

Para habilitar a criptografia forte no .NET Framework 3.5.1 no Windows 7 e no Windows Server 2008 R2, veja o artigo da KB Descrição da atualização de segurança do .NET Framework 3.5.1 no Windows 7 Service Pack 1 e no Windows Server 2008 R2 Service Pack 1: 13 de maio de 2014.

For Windows Server 2012

Para habilitar uma criptografia forte no .NET Framework 3.5 no Windows Server 2012, veja o artigo da KB Descrição da atualização de segurança do .NET Framework 3.5 no Windows 8 e no Windows Server 2012: 13 de maio de 2014.

For Windows 8.1 and Windows Server 2012 R2

Para habilitar uma criptografia forte no .NET Framework 3.5 para o Windows 8.1 e o Windows Server 2012 R2, veja o artigo da KB Descrição da atualização de segurança do .NET Framework 2012 no Windows 3.5 e no Windows Server 8.1 R2: 13 de maio de 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10

1. No Notepad.exe, crie um arquivo de texto chamado net35-strong-crypto-enable.reg.

2. Copie e cole o texto a seguir.

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   

3. Salve o arquivo net35-strong-crypto-enable.reg.

4. Clique duas vezes no arquivo net35-strong-crypto-enable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

3.7 - Desabilitar versões anteriores do SSL e do TLS no Windows Schannel

Para habilitar ou desabilitar o suporte do SSL e do TLS no Windows SChannel, é necessário editar o Registro do Windows. É possível habilitar ou desabilitar cada versão dos protocolos SSL e TLS de forma independente. Não é necessário habilitar ou desabilitar uma versão para habilitar ou desabilitar outra versão do protocolo.

Importante

A Microsoft recomenda desabilitar o SSL 2.0 e o SSL 3.0 devido a sérias vulnerabilidades de segurança nessas versões do protocolo.

Os clientes também podem optar por desabilitar o TLS 1.0 e o TLS 1.1 para garantir o uso exclusivo da versão mais recente do protocolo. No entanto, isso pode causar problemas de compatibilidade com um software que não seja compatível com a versão mais recente do protocolo TLS. Os clientes devem testar uma alteração, antes de realizá-la na produção.

O valor de registro Enabled determina se é possível usar a versão do protocolo. Se o valor for definido como 0, não será possível usar a versão do protocolo, mesmo que ela esteja habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Quando o valor é definido como 1, é possível usar a versão do protocolo se ela estiver habilitada por padrão ou se o aplicativo exigir explicitamente essa versão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

O valor de registro DisabledByDefault determina quando usar a versão do protocolo por padrão. Essa configuração se aplica somente quando o aplicativo não exige explicitamente as versões do protocolo a ser usado. Se o valor for definido como 0, a versão do protocolo será usada por padrão. Se o valor for definido como 1, a versão do protocolo não será usada por padrão. Se o valor não for definido, o sistema operacional determinará um valor padrão a ser usado.

Para desabilitar o suporte do SSL 2.0 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado ssl20-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo ssl20-disable.reg.

4. Clique duas vezes no arquivo ssl20-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Para desabilitar o suporte do SSL 3.0 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado ssl30-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo ssl30-disable.reg.

4. Clique duas vezes no arquivo ssl30-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Para desabilitar o suporte do TLS 1.0 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls10-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo tls10-disable.reg.

4. Clique duas vezes no arquivo tls10-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.

Para desabilitar o suporte do TLS 1.1 no Windows Schannel

1. No Notepad.exe, crie um arquivo de texto chamado tls11-disable.reg.

2. Copie e cole o texto a seguir.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. Salve o arquivo tls11-disable.reg.

4. Clique duas vezes no arquivo tls11-disable.reg.

5. Clique em Yes para atualizar o Registro do Windows com essas alterações.

6. Reinicie o computador para que a alteração entre em vigor.