Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Transport Layer Security (TLS) 1.2 für Azure Backup aktivieren, um die sichere Datenübertragung über Netzwerke sicherzustellen. TLS 1.2 bietet im Vergleich zu früheren Protokollversionen einen verbesserten Schutz, um Sicherungsdaten vor Sicherheitsrisiken und unbefugtem Zugriff zu schützen.
Frühere Versionen von Windows und erforderliche Updates
Wenn auf dem Computer frühere Versionen von Windows ausgeführt werden, müssen die unten aufgeführten Updates installiert und die in den KB-Artikeln dokumentierten Registrierungsänderungen angewandt werden.
| Betriebssystem | KB-Artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Hinweis
Mit dem Update werden die erforderlichen Protokollkomponenten installiert. Nach der Installation müssen Sie die in den KB-Artikeln oben erwähnten Änderungen an den Registrierungsschlüsseln vornehmen, um die erforderlichen Protokolle ordnungsgemäß zu aktivieren.
Überprüfen der Windows-Registrierungseinstellungen für TLS
Um sicherzustellen, dass TLS 1.2 auf Ihrem Windows-Computer aktiviert ist, überprüfen Sie, ob die folgenden Registrierungseinstellungen ordnungsgemäß konfiguriert sind.
Konfigurieren von SChannel-Protokollen
Die folgenden Registrierungsschlüssel stellen sicher, dass das TLS 1.2-Protokoll auf der Ebene der SChannel-Komponente aktiviert ist:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Hinweis
Die gezeigten Werte werden in Windows Server 2012 R2 und neueren Versionen standardmäßig festgelegt. Wenn die Registrierungsschlüssel nicht vorhanden sind, müssen sie für diese Versionen von Windows nicht erstellt werden.
Konfigurieren von .NET Framework
Mit den folgenden Registrierungsschlüsseln wird .NET Framework für die Unterstützung starker Kryptografie konfiguriert. Weitere Informationen zum Konfigurieren von .NET Framework finden Sie hier.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
TLS-Zertifikatänderungen für Azure
TLS/SSL-Azure-Endpunkte enthalten jetzt aktualisierte Zertifikate, die mit den neuen Stammzertifizierungsstellen verkettet sind. Stellen Sie sicher, dass die folgenden Änderungen die aktualisierten Stammzertifizierungsstellen enthalten. Weitere Informationen über die möglichen Auswirkungen auf Ihre Anwendungen.
Früher waren die meisten der von Azure-Diensten verwendeten TLS-Zertifikate mit der folgenden Stammzertifizierungsstelle verkettet:
| Allgemeiner Name der Zertifizierungsstelle | Fingerabdruck (SHA-1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Heutzutage helfen TLS-Zertifikate, die von Azure-Diensten verwendet werden, bei der Verkettung mit einer der folgenden Stammzertifizierungsstellen:
| Allgemeiner Name der Zertifizierungsstelle | Fingerabdruck (SHA-1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Zertifikat Klasse 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA-Stammzertifizierungsstelle 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC-Stammzertifizierungsstelle 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Häufig gestellte Fragen zu TLS
Warum muss TLS 1.2 aktiviert werden?
TLS 1.2 ist sicherer als ältere Kryptografieprotokolle wie SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1. Azure Backup-Dienste unterstützen TLS 1.2 bereits vollständig.
Wodurch wird das verwendete Verschlüsselungsprotokoll festgelegt?
Beim Einrichten der verschlüsselten Konversation wird die höchste Protokollversion ausgehandelt, die sowohl vom Client als auch vom Server unterstützt wird. Weitere Informationen zum TLS-Handshakeprotokoll finden Sie unter Einrichten einer sicheren Sitzung mithilfe von TLS.
Welche Auswirkungen hat es, wenn TLS 1.2 nicht aktiviert wird?
Um den Schutz vor Angriffen durch Protokolldowngrades zu verbessern, beginnt Azure Backup damit, TLS-Versionen vor 1.2 stufenweise zu deaktivieren. Dies ist Teil einer langfristigen Umstellung aller Dienste, um Verbindungen mit älteren Protokollen und Verschlüsselungssammlungen zu unterbinden. Azure Backup-Dienste und -Komponenten unterstützen TLS 1.2 vollständig. Windows-Versionen, auf denen die erforderlichen Updates oder bestimmte angepasste Konfigurationen fehlen, können jedoch dennoch verhindern, dass TLS 1.2-Protokolle bereitgestellt werden. Dies kann unter anderem zu folgenden Fehlern führen:
- Fehler bei Sicherungs- und Wiederherstellungsvorgängen
- Verbindungsfehler 10054 bei Sicherungskomponenten. (Eine vorhandene Verbindung wurde erzwungenermaßen vom Remotehost geschlossen.)
- Ungewöhnliche Starts oder Beendigungen von Diensten im Zusammenhang mit Azure Backup