Povolit protokoly TLS 1.1 a TLS 1.2 jako výchozí protokoly zabezpečení v WinHTTP v systému Windows Update

Platí pro: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials

Tato aktualizace poskytuje podporu pro zabezpečení TLS (Transport Layer) 1.1 a TLS 1.2 v systému Windows Server 2012, Windows 7 Service Pack 1 (SP1) a Windows Server 2008 R2 SP1.

O této aktualizaci


Aplikace a služby, které jsou zapisovány pomocí služby WinHTTP pro protokol SSL (Secure Sockets Layer) (SSL) připojení, které používají příznak WINHTTP_OPTION_SECURE_PROTOCOLS nelze použít protokoly TLS 1.1 nebo TLS 1.2. To je způsobeno definici tento příznak nebude obsahovat tyto aplikace a služby.

Tato aktualizace přidává podporu pro položku registru DefaultSecureProtocols, který umožňuje správce systému Chcete-li určit protokoly SSL, které mají být použity při použití příznaku WINHTTP_OPTION_SECURE_PROTOCOLS.

To umožňuje určité aplikace, které byly vytvořeny pomocí služby WinHTTP výchozí příznak moci využívat novější TLS 1.2 nebo protokoly TLS 1.1 nativně bez nutnosti aktualizace aplikace.

To je případ některých aplikací sady Microsoft Office při otevírání dokumentů z knihovny SharePoint nebo webové složky, tunelové propojení IP-HTTPS pro připojení DirectAccess a jiných aplikací pomocí technologií, jako je služba Webový klient WebDav služby WinRM, a ostatní.

Tato aktualizace vyžaduje, aby součást Secure Channel (Schannel) v systému Windows 7 být nakonfigurovány pro podporu TLS 1.1 a 1.2. Protože tyto verze protokolu nejsou povoleny ve výchozím nastavení v systému Windows 7, je nutné nakonfigurovat nastavení registru Chcete-li zajistit, aby aplikace sady Office můžete úspěšně použít protokoly TLS 1.1 a 1.2.

Tato aktualizace nezmění chování aplikací, které jsou ruční nastavení zabezpečené protokoly namísto předání výchozí příznak.

Jak získat tuto aktualizaci


Důležité Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, je nutné tuto aktualizaci přeinstalovat. Proto doporučujeme nainstalovat všechny potřebné jazykové sady před nainstalováním této aktualizace. Další informace naleznete v tématu Přidání jazykové sady do systému Windows.

Metoda 1: Aktualizace systému Windows

Tato aktualizace je k dispozici jako doporučená aktualizace na webu Windows Update. Další informace o spuštění služby Windows Update naleznete v tématu Jak získat aktualizaci prostřednictvím webu Windows Update.

Metoda 2: Katalog Microsoft Update

Chcete-li získat samostatný balíček pro aktualizaci, přejděte na web Microsoft Update Catalog .

Podrobné informace o aktualizaci

Požadavky

Chcete-li nainstalovat tuto aktualizaci, je nutné nainstalovat Service Pack 1 pro systém Windows 7 nebo Windows Server 2008 R2.

Neexistuje žádný předpoklad k instalaci této aktualizace v systému Windows Server 2012.

Informace v registru

Chcete-li nainstalovat tuto aktualizaci, je nutné přidat podklíč registru DefaultSecureProtocols.Poznámka: Můžete ručně přidat podklíč registru nebo instalace "Snadná oprava" naplnit podklíč registru.

Požadavky na restartování

Po instalaci této aktualizace bude pravděpodobně třeba restartovat počítač.

Informace o nahrazení aktualizace

Tato aktualizace nenahrazuje dříve vydané aktualizace.

Další informace


Platební karty Industry (PCI) vyžaduje dodržování TLS 1.1 nebo TLS 1.2.

Další informace o příznak WINHTTP_OPTION_SECURE_PROTOCOLS v části Příznaky.

Jak funguje DefaultSecureProtocols položka registru

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Další informace o zálohování a obnovení registru naleznete v tématu zálohování a obnovení registru v systému Windows.

Pokud aplikace určuje WINHTTP_OPTION_SECURE_PROTOCOLS, systém zkontroluje položky registru DefaultSecureProtocols a případná přepsat výchozí protokoly určené WINHTTP_OPTION_SECURE_PROTOCOLS s protokoly určené v Položka registru. Pokud položka registru neexistuje, použije WinHTTP existující výchozí operační systém pro Win WINHTTP_OPTION_SECURE_PROTOCOLS HTTP. Postupujte podle stávajících pravidel přednosti toto výchozí nastavení služby WinHTTP a zprostředkovatele SCHANNEL zakázány protokoly přepsány a protokoly nastavena na žádost WinHttpSetOption.

Poznámka: Instalační program opravy hotfix nepřidává DefaultSecureProtocols hodnota. Správce musí ručně přidat po zjištění přepsání protokolů. Nebo můžete nainstalovat "Snadná oprava" Přidat položku automaticky.

Lze přidat položku registru DefaultSecureProtocols v následující cestě:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

V počítačích s procesorem x64 musí být rovněž přidán DefaultSecureProtocols Wow6432Node cestu:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Hodnota registru je typu DWORD rastr. Přidáním hodnoty odpovídající požadované protokoly je určena hodnota, kterou chcete použít.

DefaultSecureProtocols hodnota Protokol povolen
0x00000008 Ve výchozím nastavení Povolit protokol SSL 2.0
0x00000020 Ve výchozím nastavení Povolit protokol SSL 3.0
0x00000080 Ve výchozím nastavení povolena TLS 1.0
0x00000200 Ve výchozím nastavení Povolit protokoly TLS 1.1
0x00000800 Ve výchozím nastavení povolena TLS 1.2

Například:

Správce chce přepsat výchozí hodnoty WINHTTP_OPTION_SECURE_PROTOCOLS určit protokoly TLS 1.1 a TLS 1.2.

Hodnota pro protokol TLS 1.1 (0x00000200) a hodnota pro TLS 1.2 (0x00000800), poté je sečte v programu Kalkulačka (v programátorském režimu) a výsledná hodnota registru bude 0x00000A00.

Snadná oprava

Chcete-li přidat podklíč registru DefaultSecureProtocols automaticky, klepněte na tlačítko Stáhnout . V dialogovém okně Stažení souboru klepněte na tlačítko Spustit nebo Otevříta postupujte podle kroků v Průvodci snadno opravit.

Poznámky

  • Tento průvodce může být dostupný jenom v angličtině. Tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.
  • Pokud nejste v počítači, který má problém, řešení snadno opravit uložit na jednotku flash nebo na disk CD a spusťte jej v počítači, který má tyto potíže.

Poznámka: Kromě podklíče registru DefaultSecureProtocols Snadná oprava také přidá SecureProtocols v následujícím umístění na nápovědu pro aplikaci Internet Explorer povolit protokoly TLS 1.1 a 1.2.

Položka registru SecureProtocols, který má hodnotu 0xA80 pro povolení TLS 1.1 a 1.2 budou přidány následující cesty:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet nastavení
Nastavení HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet

Povolit protokoly TLS 1.1 a 1.2 v systému Windows 7 na úrovni komponenty zprostředkovatele SChannel

Podle v článku nastavení protokol TLS SSL, TLS 1.1 a 1.2 povolena a sjednaná v systému Windows 7 musíte vytvořit položku "DisabledByDefault" v odpovídající podklíč (klient) a nastavte na "0". Tyto podklíče nebude vytvořen v registru, protože tyto protokoly jsou ve výchozím nastavení zakázána.

Vytvořit nezbytné podklíče pro protokoly TLS 1.1 a 1.2; vytvořit hodnoty DisabledByDefault DWORD a nastavte na hodnotu 0 v následujících umístěních:

Pro protokol TLS 1.1

Umístění v registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientNázev hodnoty DWORD: DisabledByDefaultHodnota DWORD: 0

Protokol TLS 1.2

Umístění v registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ClientNázev hodnoty DWORD: DisabledByDefaultHodnota DWORD: 0

Informace o souboru


Anglická (Spojené státy) verze této aktualizace softwaru instaluje soubory, které mají atributy, které jsou uvedeny v následujících tabulkách.

Odkazy


Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.