为 Microsoft 365 禁用 TLS 1.0 和 1.1
重要
我们已为全球环境中的大多数 Microsoft 365 服务禁用 TLS 1.0 和 1.1。 对于由 21 Vianet 运营的 Microsoft 365,TLS 1.0/1.1 已于 2023 年 6 月 30 日禁用。
从 2018 年 10 月 31 日开始,Microsoft 365 服务已弃用传输层安全 (TLS) 1.0 和 1.1 协议。 对最终用户的影响最小。 这一变化已经公布了两年多,并在 2017 年 12 月发布了首次公开公告。 本文仅介绍与Office 365服务相关的Office 365本地客户端,但也适用于 Office 和 Office Online Server/Office Web 应用的本地 TLS 问题。
对于 SharePoint 和 OneDrive,需要更新和配置 .NET 以支持 TLS 1.2。 有关信息,请参阅 如何在客户端上启用 TLS 1.2。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
Office 365和 TLS 概述
Office 客户端依赖于 Windows Web 服务 (WINHTTP) 通过 TLS 协议发送和接收流量。 如果本地计算机的 Web 服务可以使用 TLS 1.2,则 Office 客户端可以使用 TLS 1.2。 所有 Office 客户端都可以使用 TLS 协议,因为 TLS 和 SSL 协议是操作系统的一部分,不特定于 Office 客户端。
在 Windows 8 及更高版本上
默认情况下,如果没有网络设备配置为拒绝 TLS 1.2 流量,则 TLS 1.2 和 1.1 协议可用。
在 Windows 7 上
如果没有 KB 3140245 更新,则 TLS 1.1 和 1.2 协议不可用。 此更新解决了此问题,并添加了以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
注意
自 2018 年 10 月 31 日起,没有此更新的 Windows 7 用户将受到影响。 KB 3140245 包含有关如何更改 WINHTTP 设置以启用 TLS 协议的详细信息。
更多信息
知识库文章介绍的 DefaultSecureProtocols 注册表项的值决定了可以使用哪些网络协议:
| DefaultSecureProtocols 值 | 已启用协议 |
|---|---|
| 0x00000008 | 默认情况下启用 SSL 2.0 |
| 0x00000020 | 默认情况下启用 SSL 3.0 |
| 0x00000080 | 默认情况下启用 TLS 1.0 |
| 0x00000200 | 默认情况下启用 TLS 1.1 |
| 0x00000800 | 默认情况下启用 TLS 1.2 |
| 0x00002000 | 默认启用 TLS 1.3 |
Office 客户端和 TLS 注册表项
可以在 Office 365 中参考知识库4057306准备强制使用 TLS 1.2。 这是面向 IT 管理员的常规文章,是有关 TLS 1.2 更改的官方文档。
下表显示了 2018 年 10 月 31 日之后Office 365客户端中的相应注册表项值。
| 2018 年 10 月 31 日之后为Office 365服务启用了协议 | 十六进制值 |
|---|---|
| TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
| TLS 1.1 + 1.2 | 0x00000A00 |
| TLS 1.0 + 1.2 | 0x00000880 |
| TLS 1.2 | 0x00000800 |
重要
请勿使用 SSL 2.0 和 3.0 协议,也可以使用 DefaultSecureProtocols 密钥进行设置。 SSL 2.0 和 3.0 被视为过时且不安全的协议。 最佳做法是停止使用 SSL 2.0 和 SSL 3.0,尽管最终决定这样做取决于哪种方式最能满足你的产品需求。 有关 SSL 3.0 漏洞的详细信息,请参阅 知识库3009008。
可以在程序员模式下使用默认 Windows 计算器来设置相同的引用注册表项值。 有关详细信息,请参阅 KB 3140245更新以在 Windows 中的 WinHTTP 中启用 TLS 1.1 和 TLS 1.2 作为默认安全协议。
无论是否安装了 Windows 7 更新 (KB 3140245) ,DefaultSecureProtocols 注册表子项都不存在,必须手动或通过组策略对象 (GPO) 添加。 也就是说,除非必须自定义启用或限制的安全协议,否则不需要此密钥。 只需要 Windows 7 SP1 (KB 3140245) 更新。
更新和配置.NET Framework以支持 TLS 1.2
需要更新通过 TLS 1.0 或 TLS 1.1 调用 Microsoft 365 API 的应用程序,以使用 TLS 1.2。 .NET 4.5 默认为 TLS 1.1。 若要更新 .NET 配置,请参阅 如何在客户端上启用传输层安全性 (TLS) 1.2。
更多信息
有关详细信息,请参阅准备在 Office 365 中强制使用 TLS 1.2。
References
以下资源提供了帮助确保客户端使用 TLS 1.2 或更高版本以及禁用 TLS 1.0 和 1.1 的指导:
- 对于连接到 Office 365 的 Windows 7 客户端,请确保 TLS 1.2 是 Windows WinHTTP 中的默认安全协议。 有关详细信息,请参阅 KB 3140245 - 更新以在 Windows 中的 WinHTTP 中启用 TLS 1.1 和 TLS 1.2 作为默认安全协议。
- 若要通过删除 TLS 1.0 和 1.1 依赖项来解决弱 TLS 使用问题,请参阅 Microsoft 的 TLS 1.2 支持。
- 新的 IIS 功能可更加方便地在 Windows Server 2012 R2 和 Windows Server 2016 上查找通过使用弱安全协议连接服务的客户端。
- 获取有关如何 解决 TLS 1.0 问题的详细信息。
- 有关安全性方法的一般信息,请转到Office 365 信任中心。
- 准备 TLS 1.0/1.1 弃用 - Office 365 Skype for Business
- Exchange Server TLS 指南,第 1 部分:为 TLS 1.2 做好准备
- Exchange Server TLS 指南,第 2 部分:启用 TLS 1.2 并识别不使用它的客户端
- Exchange Server TLS 指南,第 3 部分:关闭 TLS 1.0/1.1
- 在 Office Online Server 中启用 TLS 1.1 和 TLS 1.2 支持
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈