Transport Layer Security v Azure Site Recovery

  • Článek

Tls (Transport Layer Security) je šifrovací protokol, který zajišťuje zabezpečení dat při přenosu přes síť. Azure Site Recovery používá k ochraně osobních údajů přenášených dat protokol TLS. Azure Site Recovery teď kvůli lepšímu zabezpečení používá protokol TLS 1.2.

Povolení protokolu TLS ve starších verzích Windows

Pokud na počítači běží starší verze Windows, nainstalujte odpovídající aktualizace, jak je podrobně popsáno níže, a proveďte změny registru, jak je popsáno v příslušných článcích znalostní báze.

Operační systém Článek znalostní báze
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Poznámka

Aktualizace nainstaluje požadované součásti protokolu. Pokud chcete po instalaci povolit požadované protokoly, nezapomeňte aktualizovat klíče registru, jak je uvedeno ve výše uvedených článcích znalostní báze.

Ověření registru Windows

Konfigurace protokolů SChannel

Následující klíče registru zajišťují, že je protokol TLS 1.2 povolený na úrovni komponenty SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Poznámka

Ve výchozím nastavení jsou výše uvedené klíče registru nastavené v hodnotách, které jsou nastavené v Windows Server 2012 R2 a novějších verzích. Pokud pro tyto verze systému Windows chybí klíče registru, nemusíte je vytvářet.

Konfigurace rozhraní .NET Framework

Pomocí následujících klíčů registru nakonfigurujte rozhraní .NET Framework, které podporuje silnou kryptografii. Další informace o konfiguraci rozhraní .NET Framework najdete tady.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Nejčastější dotazy

Proč povolit protokol TLS 1.2?

TLS 1.2 je bezpečnější než předchozí kryptografické protokoly, jako jsou SSL 2.0, SSL 3.0, TLS 1.0 a TLS 1.1. Služby Azure Site Recovery plně podporují protokol TLS 1.2.

Co určuje použitý šifrovací protokol?

K navázání šifrované konverzace se vyjednává nejvyšší verze protokolu podporovaná klientem i serverem. Další informace o protokolu handshake TLS najdete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.

Jaký to bude mít dopad, pokud není povolený protokol TLS 1.2?

Kvůli lepšímu zabezpečení před útoky na downgrade protokolu začíná Azure Site Recovery zakazovat verze protokolu TLS starší než 1.2. Jedná se o součást dlouhodobého posunu mezi službami, který zakáže připojení starších protokolů a šifrovacích sad. Služby a komponenty Azure Site Recovery plně podporují protokol TLS 1.2. Verze Systému Windows bez požadovaných aktualizací nebo určité přizpůsobené konfigurace však stále můžou bránit nabízení protokolů TLS 1.2. To může způsobit selhání, mimo jiné včetně jednoho nebo více z následujících:

  • Replikace může selhat ve zdroji.
  • Selhání připojení komponent Azure Site Recovery s chybou 10054 (vzdálený hostitel vynutil ukončení existujícího připojení).
  • Služby související s Azure Site Recovery se nezastaví ani nespustí jako obvykle.

Další materiály