Habilite la compatibilidad con TLS 1.1 y TLS 1.2 en adelante en Office Online Server

  • Artículo

Resumen: En este artículo se describe cómo habilitar las versiones del protocolo seguridad de la capa de transporte (TLS) 1.1 y 1.2 en adelante en Office Online Server.

Para habilitar las versiones de protocolo TLS 1.1 y 1.2 en adelante en el entorno de Office Online Server, debe configurar los valores en cada servidor de la granja de Office Online Server.

El proceso de configuración consiste en establecer una serie de claves del registro para activar o desactivar los protocolos de seguridad. Aunque puede realizar estas actualizaciones en el registro manualmente o mediante un archivo .reg, se recomienda crear objetos de directiva de grupo para administrar esta configuración, especialmente si va a configurar estos protocolos en toda la organización.

Los pasos básicos que se tratan en este artículo son:

  • Habilite la criptografía segura en .NET Framework.

Nota:

A partir de la actualización de seguridad acumulativa de julio de 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), este paso no es necesario. Cualquiera que aplique esta revisión puede omitir este paso.

  • (Opcional) Deshabilitar las versiones anteriores de SSL y TLS

Nota:

El uso de TLS 1.1 y TLS 1.2 en adelante con Office Online Server requiere que TLS 1.1 y TLS 1.2 en adelante estén habilitados en Windows Server para cada equipo de la granja de Office Online Server. Están habilitados de forma predeterminada para Windows Server 2012 R2.

Siga estos pasos en cada servidor de la granja de Office Online Server.

Habilitar la criptografía segura en .NET Framework 4.5 o una versión superior

Nota:

A partir de la actualización de seguridad acumulativa de julio de 2021 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5), este paso no es necesario. Cualquiera que aplique esta revisión puede omitir este paso.

El uso de TLS 1.1 y TLS 1.2 en adelante con Office Online Server requiere criptografía segura en .NET Framework 4.5 o posterior. Para habilitar la criptografía segura en .NET Framework 4.5 o una versión superior, agregue las siguientes claves del registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Deshabilitar las versiones anteriores de SSL y TLS en Windows Schannel

La compatibilidad con SSL y TLS se habilita o deshabilita en Windows Schannel al editar el Registro de Windows. Cada versión del protocolo SSL y TLS puede habilitarse o deshabilitarse de forma independiente. No tiene que habilitar o deshabilitar una versión del protocolo para habilitar o deshabilitar otra versión del protocolo.

Importante

Microsoft recomienda que se deshabiliten SSL 2.0 y SSL 3.0 debido a graves vulnerabilidades de seguridad en estas versiones del protocolo. > Los clientes también pueden optar por deshabilitar TLS 1.0 y TLS 1.1 para asegurarse de que solo se usa la versión más reciente del protocolo. En cambio, esto puede causar problemas de compatibilidad con software que no es compatible con la versión más reciente del protocolo TLS. Los clientes deben probar este tipo de cambio antes de llevarlo a cabo en entornos de producción.

El valor Enabled del Registro define si se puede usar la versión del protocolo. Si el valor se establece en 0, no se puede usar la versión del protocolo, incluso si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor se establece en 1, se puede usar la versión del protocolo si está habilitada de manera predeterminada o si la aplicación solicita de forma explícita esa versión del protocolo. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

El valor DisabledByDefault del Registro define si la versión del protocolo se usa de manera predeterminada. Esta configuración solo se aplica cuando la aplicación no solicita de forma explícita las versiones del protocolo que se usarán. Si el valor se establece en 0, se usará la versión del protocolo de manera predeterminada. Si el valor se establece en 1, no se usará la versión del protocolo de manera predeterminada. Si el valor no está definido, usará un valor predeterminado que determina el sistema operativo.

Para deshabilitar la compatibilidad con SSL 2.0 en Windows Schannel, agregue las siguientes claves del registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Para deshabilitar la compatibilidad con SSL 3.0 en Windows Schannel, agregue las siguientes claves del registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Para deshabilitar la compatibilidad con TLS 1.0 en Windows Schannel, agregue las siguientes claves del registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Para deshabilitar la compatibilidad con TLS 1.1 en Windows Schannel, agregue las siguientes claves del registro:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000