将更新,以启用 TLS 1.1 和 TLS 1.2 作为默认 WinHTTP 在 Windows 中的安全协议

适用于: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials

此更新提供了支持传输层安全 (TLS) 1.1 和 Windows Server 2012,Windows 7 Service Pack 1 (SP1) 和 Windows Server 2008 R2 SP1 中的 TLS 1.2。

关于此更新


应用程序和使用的安全套接字层 (SSL) 连接的使用 WINHTTP_OPTION_SECURE_PROTOCOLS 标志 WinHTTP 编写的服务不能使用 TLS 1.1 和 TLS 1.2 协议。这是因为此标志的定义并不包括这些应用程序和服务。

此更新增加了对 DefaultSecureProtocols 注册表项允许系统管理员可以指定使用 WINHTTP_OPTION_SECURE_PROTOCOLS 标志时,应该使用的 SSL 协议的支持。

这可以使某些生成的应用程序使用 WinHTTP 默认标志能够利用新的 TLS 1.2 或 TLS 1.1 协议本身而无需对应用程序进行更新。

这种情况对于某些 Microsoft Office 应用程序,在使用技术如 WebClient 使用 WebDav,WinRM,从 SharePoint 库或 Web 文件夹、 DirectAccess 连接的 IP HTTPS 隧道和其他应用程序打开文档时,其他人。

此更新要求安全通道 (Schannel) 组件在 Windows 7 中的将配置为支持 TLS 1.1 和 1.2。随着这些协议版本在 Windows 7 中默认情况下未启用,必须配置的注册表设置,以确保 TLS 1.1 和 1.2,可以成功地使用 Office 应用程序。

此更新不会更改应用程序手动设置而不是传递默认标志的安全协议的行为。

如何获取此更新


重要 如果在安装此更新之后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows

方法 1: Windows 更新

提供此更新为 Windows Update 上推荐更新。有关如何运行 Windows 更新的详细信息,请参阅如何通过 Windows 更新获取更新

方法 2: Microsoft 更新目录

若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。

更新详细信息

先决条件

若要应用此更新,必须安装 Windows 7 Service Pack 1 或 Windows Server 2008 R2

要应用此更新 Windows Server 2012 中的没有先决条件。

注册表信息

若要在应用此更新,必须添加 DefaultSecureProtocols 注册表子项。注意:若要执行此操作,可以手动添加注册表子项或安装"简单的解决方法"来填充注册表子项。

重启要求

应用此更新后可能需要重启计算机。

更新替换信息

此更新不会替换先前发布的任何更新。

更多信息


支付卡行业 (PCI) 的法规遵从性要求 TLS 1.1 或 TLS 1.2。

有关 WINHTTP_OPTION_SECURE_PROTOCOLS 标志的详细信息,请参阅选项标志

将 DefaultSecureProtocols 注册表项的工作原理

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请参阅如何备份和还原在 Windows 注册表

当应用程序指定 WINHTTP_OPTION_SECURE_PROTOCOLS 时,系统将检查 DefaultSecureProtocols 注册表项,如果存在重写由 WINHTTP_OPTION_SECURE_PROTOCOLS 指定的协议中指定的默认协议该注册表项。如果注册表项不存在,WinHTTP 将为赢得 WINHTTP_OPTION_SECURE_PROTOCOLS HTTP 使用现有的操作系统默认值。这些 WinHTTP 和默认值,请按照现有的优先规则被禁用 SCHANNEL 协议无效,协议设置每个应用程序的 WinHttpSetOption。

注意:修复程序安装程序不会添加的 DefaultSecureProtocols 值。确定替代协议之后,管理员必须手动添加项。或者,您可以安装"简单的解决方法"以自动添加的条目。

可以将 DefaultSecureProtocols 注册表项添加在以下路径中:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

在基于 x64 的计算机上,DefaultSecureProtocols 还必须添加到 Wow6432Node 路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

注册表值是 DWORD 位图。通过添加到所需的协议相对应的值确定要使用的值。

DefaultSecureProtocols 值 启用协议
0x00000008 默认情况下启用 SSL 2.0
0x00000020 默认情况下启用 SSL 3.0
0x00000080 默认情况下启用 TLS 1.0
0x00000200 默认情况下启用 TLS 1.1
0x00000800 默认情况下启用 TLS 1.2

例如:

管理员想要重写 WINHTTP_OPTION_SECURE_PROTOCOLS 指定 TLS 1.1 和 TLS 1.2 的默认值。

采用 TLS 1.1 (0x00000200) 的值,TLS 1.2 (0x00000800) 的值,然后将它们相加在计算器 (在程序员模式下),而所得到的注册表值 0x00000A00。

简单的解决方法

若要自动添加的 DefaultSecureProtocols 注册表子项,请单击下载按钮。在文件下载对话框中,单击运行打开,然后按照很容易修复向导中的步骤。

注意

  • 此向导可能只有英文版本。 但自动修复功能同样适用于其他语言版本的 Windows。
  • 如果您不是有问题的计算机上,将很容易修复解决方案保存至闪存驱动器或 CD,然后在出现此问题的计算机上运行。

注意:除了 DefaultSecureProtocols 注册表子项下,简单的解决方法还在以下位置,以帮助为 Internet Explorer 中启用 TLS 1.1 和 1.2 添加 SecureProtocols。

已启用 TLS 1.1 和 1.2 值 0xA80 SecureProtocols 注册表项将被添加到以下路径:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 设置

启用 TLS 1.1 和 1.2,则 SChannel 组件级别的 Windows 7 上

TLS SSL 设置文章,TLS 1.1 和 1.2,启用并在 Windows 7 上协商必须在相应的子项 (客户端) 中创建的"DisabledByDefault"项目并将其设置为"0"。因为这些协议在默认情况下处于禁用状态,不会在注册表中创建这些子项。

创建必要的子项的 TLS 1.1 和 1.2;创建 DisabledByDefault DWORD 值,并在以下位置将其设置为 0:

TLS 1.1

注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientDword 值名称: DisabledByDefault双字节值: 0

TLS 1.2

注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ClientDword 值名称: DisabledByDefault双字节值: 0

文件信息


此软件更新程序的英语(美国)版本将安装具有下表所列属性的文件。

参考


了解 Microsoft 用于描述软件更新的术语