Deaktivieren von TLS 1.0 und 1.1 für Microsoft 365
Wichtig
Wir haben die Deaktivierung von TLS 1.0 und 1.1 für gewerbliche Kunden aufgrund von COVID-19 vorübergehend ausgesetzt. Da sich die Lieferketten angepasst haben und bestimmte Länder wieder geöffnet sind, haben wir am 15. Oktober 2020 das TlS 1.2-Durchsetzungsrollout neu gestartet. Der Rollout wird in den folgenden Wochen und Monaten fortgesetzt.
Seit dem 31. Oktober 2018 sind die Protokolle Transport Layer Security (TLS) 1.0 und 1.1 für den Microsoft 365-Dienst veraltet. Der Effekt für Endbenutzer ist minimal. Diese Änderung wurde seit über zwei Jahren veröffentlicht, mit der ersten öffentlichen Ankündigung im Dezember 2017. Dieser Artikel soll nur die Office 365 lokalen Clients in Bezug auf den Office 365-Dienst behandeln, kann aber auch auf lokale TLS-Probleme mit Office und Office Online Server/Office Web-Apps angewendet werden.
Für SharePoint und OneDrive müssen Sie .NET aktualisieren und konfigurieren, um TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter Aktivieren von TLS 1.2 auf Clients.
übersicht über Office 365 und TLS
Der Office-Client basiert auf dem Windows-Webdienst (WINHTTP), um Datenverkehr über TLS-Protokolle zu senden und zu empfangen. Der Office-Client kann TLS 1.2 verwenden, wenn der Webdienst des lokalen Computers TLS 1.2 verwenden kann. Alle Office-Clients können TLS-Protokolle verwenden, da TLS- und SSL-Protokolle Teil des Betriebssystems und nicht spezifisch für den Office-Client sind.
Unter Windows 8 und höheren Versionen
Standardmäßig sind die TLS 1.2- und 1.1-Protokolle verfügbar, wenn keine Netzwerkgeräte so konfiguriert sind, dass TLS 1.2-Datenverkehr abgelehnt wird.
Unter Windows 7
TLS 1.1- und 1.2-Protokolle sind ohne das KB 3140245 Update nicht verfügbar. Das Update behebt dieses Problem und fügt den folgenden Registrierungsunterschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Hinweis
Windows 7-Benutzer, die nicht über dieses Update verfügen, sind ab dem 31. Oktober 2018 betroffen. KB 3140245 enthält Details zum Ändern von WINHTTP-Einstellungen zum Aktivieren von TLS-Protokollen.
Weitere Informationen
Der Wert des Registrierungsschlüssels DefaultSecureProtocols , den der KB-Artikel beschreibt, bestimmt, welche Netzwerkprotokolle verwendet werden können:
DefaultSecureProtocols-Wert | Protokoll aktiviert |
---|---|
0x00000008 | SSL 2.0 standardmäßig aktivieren |
0x00000020 | SSL 3.0 standardmäßig aktivieren |
0x00000080 | TLS 1.0 standardmäßig aktivieren |
0x00000200 | TLS 1.1 standardmäßig aktivieren |
0x00000800 | TLS 1.2 standardmäßig aktivieren |
Office-Clients und TLS-Registrierungsschlüssel
Sie können sich in Office 365 auf KB 4057306 Vorbereiten der obligatorischen Verwendung von TLS 1.2 beziehen. Dies ist ein allgemeiner Artikel für IT-Administratoren und es ist eine offizielle Dokumentation zur TLS 1.2-Änderung.
Die folgende Tabelle zeigt die entsprechenden Registrierungsschlüsselwerte in Office 365 Clients nach dem 31. Oktober 2018.
Aktivierte Protokolle für Office 365 Dienst nach dem 31. Oktober 2018 | Hexadezimalwert |
---|---|
TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
TLS 1.1 + 1.2 | 0x00000A00 |
TLS 1.0 + 1.2 | 0x00000880 |
TLS 1.2 | 0x00000800 |
Wichtig
Verwenden Sie nicht die SSL 2.0- und 3.0-Protokolle, die auch mithilfe des DefaultSecureProtocols-Schlüssels festgelegt werden können. SSL 2.0 und 3.0 gelten als veraltete und unsichere Protokolle. Die bewährte Methode besteht darin, die Verwendung von SSL 2.0 und SSL 3.0 zu beenden, obwohl die Entscheidung, dies zu tun, letztendlich davon abhängt, was Ihre Produktanforderungen am besten erfüllt. Weitere Informationen zu SSL 3.0-Sicherheitsrisiken finden Sie unter KB 3009008.
Sie können den standardmäßigen Windows-Rechner im Programmiermodus verwenden, um dieselben Referenzregistrierungsschlüsselwerte einzurichten. Weitere Informationen finden Sie unter KB 3140245 Update, um TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows zu aktivieren.
Unabhängig davon, ob das Windows 7-Update (KB 3140245) installiert ist oder nicht, ist der Registrierungsunterschlüssel "DefaultSecureProtocols" nicht vorhanden und muss manuell oder über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) hinzugefügt werden. Das heißt, wenn Sie nicht anpassen müssen, welche sicheren Protokolle aktiviert oder eingeschränkt sind, ist dieser Schlüssel nicht erforderlich. Sie benötigen nur das Windows 7 SP1 (KB 3140245)-Update.
.NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren
Sie müssen Anwendungen aktualisieren, die Microsoft 365 APIs über TLS 1.0 oder TLS 1.1 aufrufen, um TLS 1.2 zu verwenden. .NET 4.5 ist standardmäßig TLS 1.1. Informationen zum Aktualisieren Ihrer .NET-Konfiguration finden Sie unter Aktivieren von TLS 1.2 (Transport Layer Security) auf Clients.
Weitere Informationen
Weitere Informationen finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.
References
Die folgenden Ressourcen enthalten Anleitungen, um sicherzustellen, dass Ihre Clients TLS 1.2 oder eine höhere Version verwenden und TLS 1.0 und 1.1 zu deaktivieren:
- Wenn Sie Windows-7-Clients haben, die mit Office 365 verbunden sind, stellen Sie sicher, dass TLS 1.2 die standardmäßigen sicheren Protokolle in WinHTTP in Windows sind. Weitere Informationen finden Sie unter KB 3140245 – Update, um TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows zu aktivieren.
- Informationen zum Beheben schwacher TLS-Verwendung durch Entfernen von TLS 1.0- und 1.1-Abhängigkeiten finden Sie unter TLS 1.2-Unterstützung bei Microsoft.
- Die neue IIS-Funktionalität erleichtert die Suche nach Clients unter Windows Server 2012 R2 und Windows Server 2016, die unter Verwendung von schwachen Sicherheitsprotokollen eine Verbindung mit dem Dienst herstellen.
- Weitere Informationen zum Beheben des TLS 1.0-Problems.
- Allgemeine Informationen zu unserem Sicherheits-Ansatz finden Sie im Office 365 Trust Center.
- Vorbereiten auf die Einstellung von TLS 1.0/1.1 – Office 365 Skype for Business
- Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2
- Exchange Server TLS-Leitfaden Teil 2: Enabling TLS 1.2 and Identifying Clients Not Using It
- Exchange Server TLS-Leitfaden Teil 3: TLS 1.0/1.1 abschalten
- Aktivieren des TLS 1.1- und TLS 1.2-Supports in Office Online-Server