Отключение TLS 1.0 и 1.1 для Microsoft 365
Важно!
Мы уже отключили TLS 1.0 и 1.1 для большинства служб Microsoft 365 во всемирной среде. Для Microsoft 365 под управлением 21 Vianet TLS 1.0/1.1 был отключен 30 июня 2023 г.
По состоянию на 31 октября 2018 г. протоколы TLS 1.0 и 1.1 устарели для службы Microsoft 365. Эффект для конечных пользователей минимальный. Это изменение было обнародовано в течение более двух лет, с первым публичным объявлением, сделанным в декабре 2017 года. Эта статья предназначена только для Office 365 локального клиента в отношении Office 365 службы, но также может применяться к локальным проблемам TLS в Office и Office Online Server/Office веб-приложения.
Для SharePoint и OneDrive необходимо обновить и настроить .NET для поддержки TLS 1.2. Дополнительные сведения см. в разделе Включение TLS 1.2 на клиентах.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
общие сведения о Office 365 и TLS
Клиент Office использует веб-службу Windows (WINHTTP) для отправки и получения трафика по протоколам TLS. Клиент Office может использовать TLS 1.2, если веб-служба локального компьютера может использовать TLS 1.2. Все клиенты Office могут использовать протоколы TLS, так как протоколы TLS и SSL являются частью операционной системы и не относятся к клиенту Office.
В Windows 8 и более поздних версиях
По умолчанию протоколы TLS 1.2 и 1.1 доступны, если сетевые устройства не настроены для отклонения трафика TLS 1.2.
В Windows 7
Протоколы TLS 1.1 и 1.2 недоступны без обновления базы знаний 3140245 . Обновление устраняет эту проблему и добавляет следующий вложенный раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Примечание.
Пользователи Windows 7, у которых нет этого обновления, будут затронуты с 31 октября 2018 г. Kb 3140245 содержит сведения о том, как изменить параметры WINHTTP для включения протоколов TLS.
Дополнительная информация
Значение раздела реестра DefaultSecureProtocols , описанное в статье базы знаний, определяет, какие сетевые протоколы можно использовать:
| Значение DefaultSecureProtocols | Протокол включен |
|---|---|
| 0x00000008 | Включить протокол SSL 2.0 по умолчанию |
| 0x00000020 | Включить протокол SSL 3.0 по умолчанию |
| 0x00000080 | Включить протокол TLS 1.0 по умолчанию |
| 0x00000200 | Включить протокол TLS 1.1 по умолчанию |
| 0x00000800 | Включить протокол TLS 1.2 по умолчанию |
| 0x00002000 | Включение TLS 1.3 по умолчанию |
Клиенты Office и разделы реестра TLS
В Office 365 см. статью KB 4057306 Подготовка к обязательному использованию TLS 1.2. Это общая статья для ИТ-администраторов и официальная документация по изменению TLS 1.2.
В следующей таблице показаны соответствующие значения разделов реестра в Office 365 клиентов после 31 октября 2018 г.
| Включенные протоколы для службы Office 365 после 31 октября 2018 г. | Шестнадцатеричное значение |
|---|---|
| TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
| TLS 1.1 + 1.2 | 0x00000A00 |
| TLS 1.0 + 1.2 | 0x00000880 |
| TLS 1.2 | 0x00000800 |
Важно!
Не используйте протоколы SSL 2.0 и 3.0, которые также можно задать с помощью ключа DefaultSecureProtocols . SSL 2.0 и 3.0 считаются устаревшими и небезопасными протоколами. Рекомендуется прекратить использование SSL 2.0 и SSL 3.0, хотя решение сделать это в конечном итоге зависит от того, что лучше всего соответствует потребностям вашего продукта. Дополнительные сведения об уязвимостях SSL 3.0 см. в 3009008 базы знаний.
Вы можете использовать калькулятор Windows по умолчанию в режиме программиста, чтобы настроить те же значения ссылочных разделов реестра. Дополнительные сведения см. в статье Обновление базы знаний 3140245, чтобы включить протоколы TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.
Независимо от того, установлено ли обновление Windows 7 (KB 3140245), вложенный раздел реестра DefaultSecureProtocols отсутствует и должен быть добавлен вручную или с помощью объекта групповой политики . То есть, если вам не нужно настраивать, какие протоколы безопасности включены или ограничены, этот ключ не требуется. Вам потребуется только обновление Windows 7 с пакетом обновления 1 (SP1) (KB 3140245).
Обновление и настройка платформа .NET Framework для поддержки TLS 1.2
Вам потребуется обновить приложения, которые вызывают API Microsoft 365 через TLS 1.0 или TLS 1.1, чтобы использовать TLS 1.2. По умолчанию .NET 4.5 используется TLS 1.1. Сведения об обновлении конфигурации .NET см . в статье Включение протокола TLS 1.2 на клиентах.
Дополнительная информация
Дополнительные сведения см. в статье Подготовка к обязательному использованию TLS 1.2 в Office 365.
Ссылки
В следующих ресурсах содержатся рекомендации, которые помогут убедиться, что клиенты используют TLS 1.2 или более поздней версии, а также отключить TLS 1.0 и 1.1.
- Клиенты Windows 7, которые подключаются к Office 365, должны убедиться, что TLS 1.2 является безопасным протоколом по умолчанию в WinHTTP в Windows. Дополнительные сведения см. в статье KB 3140245 — обновление для включения протоколов TLS 1.1 и TLS 1.2 в качестве протоколов безопасности по умолчанию в WinHTTP в Windows.
- Сведения о том, как устранить проблемы с слабым использованием TLS путем удаления зависимостей TLS 1.0 и 1.1, см . в статье Поддержка TLS 1.2 в Корпорации Майкрософт.
- Новые функциональные возможности IIS упрощают поиск клиентов в Windows Server 2012 R2 и Windows Server 2016, которые подключаются к службе с помощью слабых протоколов безопасности.
- Дополнительные сведения о том, как решить проблему TLS 1.0.
- Общие сведения о подходе к безопасности см. в Центре управления безопасностью Office 365.
- Подготовка к отключению TLS 1.0/1.1 - Office 365 Skype для бизнеса
- Рекомендации по TLS Exchange Server, часть 1: Подготовка к TLS 1.2
- Рекомендации по TLS Exchange Server, часть 2: Включение TLS 1.2 и определение клиентов, которые не используют его
- Рекомендации по TLS Exchange Server, часть 3: Выключение TLS 1.0/1.1
- Включение поддержки TLS 1.1 и TLS 1.2 в Office Online Server