Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak povolit protokol TLS (Transport Layer Security) 1.2 pro Azure Backup, aby se zajistil zabezpečený přenos dat přes sítě. Protokol TLS 1.2 nabízí vylepšenou ochranu oproti dřívějším verzím protokolu, pomáhá chránit zálohovaná data před ohroženími zabezpečení a neoprávněným přístupem.
Starší verze Windows a požadované aktualizace
Pokud počítač používá starší verze Windows, musí být nainstalovány odpovídající níže uvedené aktualizace a musí být použity změny registru popsané v článcích znalostní báze.
Poznámka:
Windows Server 2008 a Windows Server 2008 R2 dosáhli konce podpory (EOS). Další informace najdete v tématu Konec podpory pro Windows Server 2008 a Windows Server 2008 R2 a Proveďte upgrade na místě na Windows Server 2016, 2019, 2022 nebo 2025. Zkontrolujte své využití a podle toho naplánujte upgrady a migrace operačního systému.
| Operační systém | Článek znalostní báze Knowledge Base |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Poznámka:
Aktualizace nainstaluje požadované součásti protokolu. Po instalaci je nutné provést změny klíče registru uvedené v článcích znalostní báze výše, aby se správně povolily požadované protokoly.
Ověření nastavení registru Systému Windows pro protokol TLS
Pokud chcete zajistit, aby na vašem počítači s Windows byl povolený protokol TLS 1.2, ověřte, že jsou správně nakonfigurovaná následující nastavení registru.
Konfigurace protokolů SChannel
Následující klíče registru zajišťují, že protokol TLS 1.2 je povolený na úrovni komponenty SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Poznámka:
Zobrazené hodnoty jsou ve výchozím nastavení nastavené ve Windows Serveru 2012 R2 a novějších verzích. Pokud v těchto verzích Windows chybí klíče registru, není nutné je vytvářet.
Konfigurace rozhraní .NET Framework
Následující klíče registru nakonfigurují rozhraní .NET Framework tak, aby podporovaly silnou kryptografii. Další informace o konfiguraci rozhraní .NET Framework najdete tady.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Změny certifikátu Azure TLS
Koncové body Azure TLS/SSL teď obsahují aktualizované řetězení certifikátů až do nových kořenových certifikačních autorit. Ujistěte se, že následující změny zahrnují aktualizované kořenové certifikační autority. Přečtěte si další informace o možných dopadech na vaše aplikace.
Většina certifikátů TLS, které dříve používaly služby Azure, se zřetězily k následující kořenové certifikační autoritě:
| Běžný název certifikační autority | Odstisk palce (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Certifikáty TLS používané službami Azure teď pomáhají navázat na jednu z následujících kořenových certifikačních autorit:
| Běžný název certifikační autority | Odstisk palce (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Globální kořenová certifikační autorita | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Třída 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Nejčastější dotazy k protokolu TLS
Proč povolit protokol TLS 1.2?
Protokol TLS 1.2 je bezpečnější než předchozí kryptografické protokoly, jako jsou SSL 2.0, SSL 3.0, TLS 1.0 a TLS 1.1. Služby Azure Backup již plně podporují protokol TLS 1.2.
Co určuje použitý šifrovací protokol?
Za účelem vytvoření šifrované konverzace se vyjednává nejvyšší verze protokolu podporovaná klientem i serverem. Další informace o TLS handshake naleznete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.
Jaký je dopad nepovolování protokolu TLS 1.2?
Pro lepší zabezpečení útoků downgrade protokolu začíná Služba Azure Backup postupně zakazovat verze TLS starší než 1.2. Toto je součástí dlouhodobého posunu napříč službami, zakazující připojení starých protokolů a šifrovacích sad. Služby Azure Backup a komponenty plně podporují protokol TLS 1.2. Verze Windows, které nemají požadované aktualizace nebo určité přizpůsobené konfigurace, ale můžou dál bránit nabízení protokolů TLS 1.2. To může způsobit selhání, včetně jednoho nebo několika následujících:
- Operace zálohování a obnovení můžou selhat.
- Selhání připojení zálohovacích komponent s chybou 10054 (existující připojení bylo vynuceně ukončeno vzdáleným hostitelem).
- Služby související se službou Azure Backup se nezastaví ani nespustí obvyklým způsobem.