Zabezpečení vrstvy přenosu ve službě Azure Site Recovery
Tls (Transport Layer Security) je šifrovací protokol, který zajišťuje zabezpečení dat při přenosu přes síť. Azure Site Recovery používá protokol TLS k ochraně osobních údajů přenášených dat. Azure Site Recovery teď pro lepší zabezpečení používá protokol TLS 1.2.
Povolení protokolu TLS ve starších verzích Windows
Pokud počítač používá starší verze Windows, ujistěte se, že chcete nainstalovat odpovídající aktualizace, jak je popsáno níže, a proveďte změny registru, jak je popsáno v příslušných článcích znalostní báze.
| Operační systém | Článek znalostní báze Knowledge Base |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Poznámka:
Aktualizace nainstaluje požadované součásti pro protokol. Po instalaci se ujistěte, že chcete povolit požadované protokoly, abyste aktualizovali klíče registru, jak je uvedeno v předchozích článcích znalostní báze.
Ověření registru Systému Windows
Konfigurace protokolů SChannel
Následující klíče registru zajišťují, že protokol TLS 1.2 je povolený na úrovni komponenty SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Poznámka:
Ve výchozím nastavení jsou výše uvedené klíče registru nastavené ve zobrazených hodnotách ve Windows Serveru 2012 R2 a novějších verzích. Pokud v těchto verzích Windows chybí klíče registru, nemusíte je vytvářet.
Konfigurace rozhraní .NET Framework
Pomocí následujících klíčů registru nakonfigurujte rozhraní .NET Framework, které podporuje silnou kryptografii. Další informace o konfiguraci rozhraní .NET Framework najdete tady.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
Poznámka:
Pokud klíče registru chybí, nemusíte je vytvářet pro Windows Server 2012 R2 nebo novější verze, pokud je protokol TLS 1.2 povolený v protokolech SChannel.
Nejčastější dotazy
Proč povolit protokol TLS 1.2?
Protokol TLS 1.2 je bezpečnější než předchozí kryptografické protokoly, jako jsou SSL 2.0, SSL 3.0, TLS 1.0 a TLS 1.1. Služby Azure Site Recovery plně podporují protokol TLS 1.2.
Co určuje použitý šifrovací protokol?
Za účelem vytvoření šifrované konverzace se vyjednává nejvyšší verze protokolu podporovaná klientem i serverem. Další informace o protokolu handshake protokolu TLS naleznete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.
Jaký je dopad, pokud protokol TLS 1.2 není povolený?
Pro lepší zabezpečení útoků downgrade protokolu začíná Azure Site Recovery zakazovat verze PROTOKOLU TLS starší než 1.2. Toto je součástí dlouhodobého posunu mezi službami, aby se nepovolily připojení starších protokolů a šifrovacích sad. Služby a komponenty Azure Site Recovery plně podporují protokol TLS 1.2. Verze Windows, které nemají požadované aktualizace nebo určité přizpůsobené konfigurace, ale můžou dál bránit nabízení protokolů TLS 1.2. To může způsobit selhání, včetně jednoho nebo několika následujících:
- Replikace může selhat ve zdroji.
- Selhání připojení komponent Azure Site Recovery s chybou 10054 (vzdálený hostitel vynutil ukončení existujícího připojení).
- Služby související s Azure Site Recovery se nezastaví ani nespustí obvyklým způsobem.