[点晴永久免费OA]更新以启用 Windows 中 WinHTTP 的默认安全协议 TLS 1.1 和 TLS 1.2
当前位置:点晴教程→点晴OA办公管理信息系统
→『 经验分享&问题答疑 』
该更新支持Windows Server 2012、Windows 7 Service Pack 1(SP1)和Windows Server 2008 R2 SP1中的传输层安全(TLS)1.1和TLS 1.2。 使用WinHTTP编写的安全套接字层(SSL)连接且使用WINHTTP_OPTION_SECURE_PROTOCOLS标志的应用和服务不能使用TLS 1.1或TLS 1.2协议。这是因为该标志的定义不包括这些应用和服务。 此次更新增加了对 DefaultSecureProtocols 注册表条目的支持,允许系统管理员在使用WINHTTP_OPTION_SECURE_PROTOCOLS标志时指定应使用哪些 SSL 协议。 这使得某些为使用 WinHTTP 默认标志构建的应用程序能够原生使用更新的 TLS 1.2 或 TLS 1.1 协议,而无需对应用程序进行更新。 这对某些Microsoft Office应用来说是如此,比如它们从SharePoint库或Web文件夹中打开文档,使用用于DirectAccess连接的IP-HTTPS隧道,以及使用WebDav、WinRM等技术打开其他应用。 此更新要求Windows 7中的安全通道(Schannel)组件必须配置支持TLS 1.1和1.2。由于这些协议版本在Windows 7中默认不启用,您必须配置注册表设置以确保Office应用程序能够成功使用TLS 1.1和1.2。 此次更新不会改变那些手动设置安全协议而非传递默认标志的应用程序的行为。 重要 如果你在安装了本次更新后安装了语言包,必须重新安装。因此,我们建议您在安装本次更新前先安装所需的语言包。欲了解更多信息,请参见向Windows添加语言包。 该更新作为Windows更新推荐更新提供。有关如何运行 Windows Update 的更多信息,请参见“如何通过 Windows Update 获取更新”。 要获取本次更新的独立软件包,请访问 Microsoft Update 目录网站。 要应用此更新,您必须安装Windows 7服务包1或Windows Server 2008 R2。 在 Windows Server 2012 中应用此更新没有任何前提条件。 要应用此更新,必须添加 DefaultSecureProtocols 注册表子密钥。注意:要实现这一点,你可以手动添加注册表子键,或者安装“简单修复”来填充注册表子键。 应用更新后,你可能需要重启电脑。 本次更新并不取代之前发布的更新。 支付卡行业(PCI)要求TLS 1.1或TLS 1.2才能合规。 有关WINHTTP_OPTION_SECURE_PROTOCOLS旗的更多信息,请参见期权旗帜。 重要本节、方法或任务包含步骤,告诉你如何修改注册表。然而,如果你错误修改登记表,可能会引发严重问题。因此,务必仔细遵循这些步骤。为了增加保护,修改注册表前先备份。然后,如果出现问题,你可以恢复注册表。有关如何备份和恢复注册表的更多信息,请参见《如何在Windows中备份和恢复注册表》。 当应用程序指定WINHTTP_OPTION_SECURE_PROTOCOLS时,系统会检查DefaultSecureProtocols注册表条目,如果存在,则用注册表条目中指定的协议覆盖WINHTTP_OPTION_SECURE_PROTOCOLS指定的默认协议。如果注册表条目不存在,WinHTTP 将使用现有作系统的 Windows WINHTTP_OPTION_SECURE_PROTOCOLS HTTP。这些 WinHTTP 默认值遵循现有的优先级规则,并被 SCHANNEL 禁用的协议和 WinHttpSetOption 为每个应用设置的协议覆盖。 注意 热修复安装程序不会添加 DefaultSecureProtocols 值。管理员必须在确定覆盖协议后手动添加条目。或者,你可以安装“Easy fix”自动添加条目。 DefaultSecureProtocols 注册表条目可通过以下路径添加: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp 在基于x64的计算机上,DefaultSecureProtocols也必须添加到Wow6432Node路径中: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp 注册表值是 DWORD 位图。所使用的值是通过将对应于所需协议的值相加来确定的。 DefaultSecureProtocols 值 协议启用 0x00000008 默认启用SSL 2.0 0x00000020 默认启用SSL 3.0 0x00000080 默认启用TLS 1.0 0x00000200 默认启用TLS 1.1 0x00000800 默认启用TLS 1.2 例如: 管理员想覆盖WINHTTP_OPTION_SECURE_PROTOCOLS的默认值,以指定TLS 1.1和TLS 1.2。 取TLS 1.1(0x00000200)和TLS 1.2(0x00000800)的值,然后在计算器中(程序员模式)相加,得到的注册表值就是0x00000A00。 要自动添加 DefaultSecureProtocols 注册表子键,请点击这里。在“文件下载”对话框中,点击“运行”或“打开”,然后按照简单修复向导的步骤作。 注释 这位巫师可能仅提供英文版本。不过,自动修复同样适用于其他语言版本的Windows。 如果你不在有问题的电脑上,把简单的解决方法保存到U盘或光盘上,然后在有问题的电脑上运行。 注释 除了 DefaultSecureProtocols 注册表子键外,Easy fix 还在以下位置添加了 SecureProtocols,以帮助支持 Internet Explorer 的 TLS 1.1 和 1.2。 具有启用 TLS 1.1 和 1.2 价值0xA80的 SecureProtocols 注册表条目将通过以下路径添加:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 根据TLS-SSL设置文章,要在Windows 7上启用并协商TLS 1.1和1.2,你必须在相应子密钥(客户端)中创建“DisabledByDefault”条目并将其设置为“0”。这些子密钥不会在注册表中创建,因为这些协议默认是被禁用的。 创建TLS 1.1和1.2所需的子键;创建 DisabledByDefault DWORD 值,并在以下位置将其设为 0: 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client 该软件更新的英文(美国)版本安装的文件具有以下表格中列出的属性。 参考文献 了解Microsoft用来描述软件更新的术语。 该文章在 2026/1/4 12:30:39 编辑过 |
关键字查询
相关文章
正在查询... 
|
400 186 1886
