Transport Layer Security v Azure Backup
Tls (Transport Layer Security) je šifrovací protokol, který zajišťuje zabezpečení dat při přenosu přes síť. Azure Backup používá zabezpečení přenosové vrstvy k ochraně osobních údajů přenášených zálohovaných dat. Tento článek popisuje postup povolení protokolu TLS 1.2, který oproti předchozím verzím poskytuje lepší zabezpečení.
Starší verze Windows
Pokud na počítači běží starší verze systému Windows, musí být nainstalovány odpovídající aktualizace uvedené níže a musí být použity změny registru popsané v článcích znalostní báze.
| Operační systém | Článek znalostní báze |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Poznámka
Aktualizace nainstaluje požadované součásti protokolu. Po instalaci musíte provést změny klíče registru uvedené v článcích znalostní báze výše, aby se požadované protokoly správně povolily.
Ověření registru Windows
Konfigurace protokolů SChannel
Následující klíče registru zajišťují, že je protokol TLS 1.2 povolený na úrovni komponenty SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Poznámka
Zobrazené hodnoty jsou ve výchozím nastavení nastaveny v Windows Server 2012 R2 a novějších verzích. Pokud klíče registru pro tyto verze Windows chybí, není nutné je vytvářet.
Konfigurace rozhraní .NET Framework
Následující klíče registru nakonfigurují rozhraní .NET Framework tak, aby podporovalo silnou kryptografii. Další informace o konfiguraci rozhraní .NET Framework najdete tady.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Změny certifikátů Azure TLS
Koncové body Azure TLS/SSL teď obsahují aktualizované certifikáty zřetězený až k novým kořenovým certifikačním autoritám. Ujistěte se, že následující změny zahrnují aktualizované kořenové certifikační autority. Přečtěte si další informace o možných dopadech na vaše aplikace.
Většina certifikátů TLS používaných službami Azure dříve zřetězených s následující kořenovou certifikační autoritou:
| Běžný název certifikační autority | Kryptografický otisk (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Certifikáty TLS, které používají služby Azure, teď pomáhají řetězit až jednu z následujících kořenových certifikačních autorit:
| Běžný název certifikační autority | Kryptografický otisk (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Globální kořenová certifikační autorita DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Nejčastější dotazy
Proč povolit protokol TLS 1.2?
TLS 1.2 je bezpečnější než předchozí kryptografické protokoly, jako jsou SSL 2.0, SSL 3.0, TLS 1.0 a TLS 1.1. Azure Backup služby již plně podporují protokol TLS 1.2.
Co určuje použitý šifrovací protokol?
K navázání šifrované konverzace se vyjednává nejvyšší verze protokolu podporovaná klientem i serverem. Další informace o protokolu handshake TLS najdete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.
Jaký je dopad nepovolování protokolu TLS 1.2?
Kvůli lepšímu zabezpečení před útoky downgradem protokolu začíná Azure Backup postupně zakazovat verze protokolu TLS starší než 1.2. Jedná se o součást dlouhodobého posunu mezi službami, který zakáže připojení starších protokolů a šifrovacích sad. Azure Backup služby a komponenty plně podporují protokol TLS 1.2. Verze Systému Windows bez požadovaných aktualizací nebo určité přizpůsobené konfigurace však stále můžou bránit nabízení protokolů TLS 1.2. To může způsobit selhání, mimo jiné včetně jednoho nebo více z následujících:
- Operace zálohování a obnovení můžou selhat.
- Připojení komponent zálohování selhá s chybou 10054 (vzdálený hostitel vynutil ukončení existujícího připojení).
- Služby související s Azure Backup se nezastaví ani nespustí jako obvykle.