若要在 Windows 中的 WinHTTP 中的預設安全通訊協定為啟用 TLS 1.1 和 TLS 1.2 的更新

適用於: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials

這個更新提供傳輸層安全性 (TLS) 1.1 和 Windows Server 2012、 Windows 7 Service Pack 1 (SP1) 和 Windows Server 2008 R2 SP1 中的 TLS 1.2 的支援。

有關此更新


應用程式和服務藉由使用 WINHTTP_OPTION_SECURE_PROTOCOLS 旗標的安全通訊端層 (SSL) 連線 WinHTTP 寫入不能使用 TLS 1.1 或 TLS 1.2 的通訊協定。這是因為這些應用程式和服務,並不包含這個旗標的定義。

這個更新會新增 DefaultSecureProtocols 登錄項目,可讓系統管理員,以指定使用 WINHTTP_OPTION_SECURE_PROTOCOLS 旗標時,就應該使用哪些 SSL 通訊協定的支援。

這可以讓某些應用程式建置使用 WinHTTP 預設旗標,才能夠運用的較新的 TLS 1.2 或 TLS 1.1 通訊協定原本就不需要對應用程式的更新。

這是某些 Microsoft Office 應用程式的情況,當它們從 SharePoint 程式庫或 Web 資料夾、 DirectAccess 連線的 IP HTTPS 通道和其他應用程式開啟文件使用 WebDav,WinRM,透過技術,例如 WebClient 和其他人。

這個更新需要安全通道 (Schannel) 元件,在 Windows 7 中的,設定成支援 TLS 1.1 和 1.2。當 Windows 7 中預設為不啟用這些通訊協定版本,您必須設定登錄設定,以確保 TLS 1.1 和 1.2,可以成功地使用 Office 應用程式。

此更新不會變更要以手動方式設定安全的通訊協定,而不會傳遞預設旗標的應用程式之行為。

如何取得此更新


重要 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows (英文)

方法 1: Windows Update

提供此更新為建議的更新,Windows update。如需有關如何執行 Windows Update 的詳細資訊,請參閱如何透過 Windows Update 取得更新

方法 2: Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

更新的詳細資訊

先決條件

若要套用這個更新,您必須安裝 Windows 7 或 Windows Server 2008 R2 的 Service Pack 1

套用此更新程式在 Windows Server 2012 沒有先決條件。

登錄資訊

若要套用此更新程式,您必須加入 DefaultSecureProtocols 登錄子機碼。注意若要這麼做,您可以手動新增登錄子機碼,或安裝 「簡單的修正程式」 來填入登錄子機碼。

重新啟動需求

套用這個更新之後,您必須重新啟動電腦。

更新取代資訊

此更新不會取代任何先前發行的更新。

其他相關資訊


付款卡業 (PCI) 會需要 TLS 1.1 或 TLS 1.2 相容性。

如需有關 WINHTTP_OPTION_SECURE_PROTOCOLS 旗標的詳細資訊,請參閱選項旗標

DefaultSecureProtocols 登錄項目 」 的運作方式

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請參閱如何備份及還原 Windows 中的登錄

當應用程式指定 WINHTTP_OPTION_SECURE_PROTOCOLS 時,系統會檢查 DefaultSecureProtocols 登錄項目,並如果有的話,覆寫預設的通訊協定指定的 WINHTTP_OPTION_SECURE_PROTOCOLS 中所指定的通訊協定登錄項目。如果登錄項目不存在,WinHTTP 將贏得 WINHTTP_OPTION_SECURE_PROTOCOLS HTTP 使用現有的作業系統預設值。這些 WinHTTP 預設值依照現有的優先順序規則會取消停用 SCHANNEL 通訊協定和通訊協定設定每個由 WinHttpSetOption 的應用程式。

注意Hotfix 安裝程式並不會新增 DefaultSecureProtocols 值。在決定覆寫通訊協定之後,系統管理員必須手動加入的項目。或者,您可以安裝 「簡單的修正程式」 會自動新增項目。

可以在下列路徑中加入 DefaultSecureProtocols 登錄項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

X64 型電腦上,DefaultSecureProtocols 也必須加入至 Wow6432Node 路徑:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

登錄值是一個 DWORD 點陣圖。決定要使用的值加入值會對應至所需的通訊協定。

DefaultSecureProtocols 值 啟用的通訊協定
0x00000008 根據預設啟用 SSL 2.0
0x00000020 根據預設啟用 SSL 3.0
0x00000080 預設情況下啟用 TLS 1.0
0x00000200 預設情況下啟用 TLS 1.1
0x00000800 預設情況下啟用 TLS 1.2

例如:

系統管理員想要覆寫指定 TLS 1.1 和 TLS 1.2 WINHTTP_OPTION_SECURE_PROTOCOLS 的預設值。

讓 TLS 1.1 (0x00000200) 的值與 TLS 1.2 (0x00000800) 的值,然後將它們相加 (在程式設計師] 模式),[小算盤] 中,所產生的登錄值會是 0x00000A00。

簡單的修正程式

若要自動新增 DefaultSecureProtocols 登錄子機碼,請按一下 [下載] 按鈕。在 [檔案下載] 對話方塊中,按一下 [執行] 或 [開啟],然後遵循輕易解決精靈中的步驟。

注意事項

  • 此精靈可能只提供英文版本。 不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上執行時,將簡單的修正程式方案儲存到快閃磁碟機或 CD,然後再將它執行在發生問題的電腦上。

注意除了 DefaultSecureProtocols 登錄子機碼中,簡單的修正程式也會將 SecureProtocols 加入為了啟用 TLS 1.1 和 1.2 的 Internet Explorer 的下列位置。

已啟用 TLS 1.1 和 1.2 值 0xA80 的 SecureProtocols 登錄項目將會加入下列路徑:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet 設定
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 設定

啟用 TLS 1.1 和 1.2 上 SChannel 元件層級的 Windows 7

TLS SSL 的設定發行項,為 TLS 1.1 和 1.2,可以啟用,交涉在 Windows 7 中,您必須建立適當的子機碼 (用戶端) 中的"DisabledByDefault"項目,並將它設為"0"。因為預設會停用這些通訊協定,這些子機碼不會建立在登錄中。

建立必要的子機碼為 TLS 1.1 和 1.2;建立 DisabledByDefault DWORD 值,並將它設為 0 中,在下列位置:

TLS 1.1 的

登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientDWORD 名稱: DisabledByDefaultDWORD 值: 0

讓 TLS 1.2

登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ClientDWORD 名稱: DisabledByDefaultDWORD 值: 0

檔案資訊


此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

參考


了解 Microsoft 用來說明軟體更新的術語


取得支援

與我們連絡

加入討論

問社區