أمان طبقة النقل في Azure Backup
بروتوكول أمان طبقة النقل (TLS) هو بروتوكول تشفير يحافظ على أمان البيانات عند نقلها عبر شبكة ما. يستخدم Azure Backup أمان طبقة النقل لحماية خصوصية بيانات النسخ الاحتياطي التي يتم نقلها. توضح هذه المقالة خطوات تمكين بروتوكول TLS 1.2، الذي يوفر أماناً محسناً مقارنة بالإصدارات السابقة.
الإصدارات السابقة من Windows
إذا كان الجهاز يعمل بإصدارات سابقة من Windows، فيجب تثبيت التحديثات المقابلة المذكورة أدناه وتطبيق تغييرات السجل الموثقة في مقالات قاعدة المعارف.
| نظام التشغيل | مقالة قاعدة المعارف |
|---|---|
| نظام التشغيل Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2 وWindows 7 وWindows Server 2012 | https://support.microsoft.com/help/3140245 |
ملاحظة
سيقوم التحديث بتثبيت مكونات البروتوكول المطلوبة. بعد التثبيت، يجب إجراء تغييرات مفتاح التسجيل المذكورة في مقالات قاعدة المعارف أعلاه لتمكين البروتوكولات المطلوبة بشكل صحيح.
تحقق من سجل Windows
تكوين بروتوكولات القناة
تضمن مفاتيح التسجيل التالية تمكين بروتوكول TLS 1.2 على مستوى مكون القناة:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
ملاحظة
يتم تعيين القيم المعروضة ظاهريّاً في Windows Server 2012 R2 والإصدارات الأحدث. بالنسبة لهذه الإصدارات من Windows، إذا كانت مفاتيح التسجيل غير موجودة، فلا داعي لإنشائها.
تكوين NET. Framework
تقوم مفاتيح التسجيل التالية بتكوين NET. Framework لدعم التشفير القوي. يمكنك قراءة المزيد حول تكوين NET. Framework هنا.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
تغييرات شهادة Azure TLS
تحتوي نقاط نهاية Azure TLS/SSL الآن على شهادات محدثة تتسلسل حتى CAs الجذر الجديد. تأكد من أن التغييرات التالية تتضمن CAs الجذر المحدثة. تعرف على المزيد حول التأثيرات المحتملة على تطبيقاتك.
في وقت سابق، تم ربط معظم شهادات TLS، المستخدمة من قبل خدمات Azure، بما يصل إلى المرجع المصدق الجذر التالي:
| الاسم الشائع للمرجع المصدق | بصمة الإبهام (لوغاريتم التجزئة الآمن 1) |
|---|---|
| Baltimore CyberTrust Root* | d4de20d05e66fc53fe1a50882c78db2852cae474 |
الآن، تساعد شهادات TLS، المستخدمة من قبل خدمات Azure، على السلسلة حتى واحدة من CAs الجذر التالية:
| الاسم الشائع للمرجع المصدق | بصمة الإبهام (لوغاريتم التجزئة الآمن 1) |
|---|---|
| DigiCert الجذر العمومي G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root* | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| المرجع المصدق الجذر Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| المرجع المصدق الجذر لـ Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
الأسئلة المتداولة
لماذا يتم تمكين TLS 1.2؟
يعد TLS 1.2 أكثر أماناً من بروتوكولات التشفير السابقة مثل SSL 2.0 وSSL 3.0 وTLS 1.0 وTLS 1.1. تدعم خدمات Azure Backup بالفعل TLS 1.2 بشكل كامل.
ما الذي يحدد بروتوكول التشفير المستخدم؟
يتم التفاوض على أعلى إصدار بروتوكول مدعوم من قِبَلِ كُلٍّ من العميل والخادم لتأسيس المحادثة المشفرة. لمزيد من المعلومات حول بروتوكول تأكيد اتصال TLS، راجع إنشاء جلسة آمنة باستخدام TLS.
ما هو تأثير عدم تمكين TLS 1.2؟
لتحسين الأمان من هجمات الرجوع إلى إصدار أقدم من البروتوكول، بدأ Azure Backup في تعطيل إصدارات TLS الأقدم من 1.2 بطريقة مرحلية. هذا جزء من تحول طويل المدى عبر الخدمات لمنع اتصالات البروتوكول القديم ومجموعة التشفير. تدعم خدمات ومكونات Azure Backup TLS 1.2 بشكل كامل. ومع ذلك، لا تزال إصدارات Windows التي تفتقر إلى التحديثات المطلوبة أو بعض التكوينات المخصصة تمنع عرض بروتوكولات TLS 1.2. يمكن أن يتسبب هذا في حدوث إخفاقات بما في ذلك على سبيل المثال لا الحصر واحد أو أكثر مما يلي:
- قد تفشل عمليات النسخ الاحتياطي والاستعادة.
- تتعطل اتصالات مكونات النسخ الاحتياطي مع الخطأ 10054 (تم إغلاق اتصال موجود قسرا من قبل المضيف البعيد).
- لن تتوقف الخدمات المتعلقة بـ Azure Backup أو تبدأ كالمعتاد.