Transport Layer Security in Azure Backup

Transport Layer Security (TLS) ist ein Verschlüsselungsprotokoll, mit dem Daten bei der Übertragung über ein Netzwerk geschützt werden. Azure Backup verwendet TLS, um den Datenschutz der Sicherungsdaten bei der Übertragung zu gewährleisten. In diesem Artikel werden die Schritte zum Aktivieren des TLS 1.2-Protokolls beschrieben, das gegenüber früheren Versionen eine höhere Sicherheit bietet.

Frühere Windows-Versionen

Wenn auf dem Computer frühere Versionen von Windows ausgeführt werden, müssen die unten aufgeführten Updates installiert und die in den KB-Artikeln dokumentierten Registrierungsänderungen angewandt werden.

Betriebssystem	KB-Artikel
Windows Server 2008 SP2	https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012	https://support.microsoft.com/help/3140245

Hinweis

Mit dem Update werden die erforderlichen Protokollkomponenten installiert. Nach der Installation müssen Sie die in den KB-Artikeln oben erwähnten Änderungen an den Registrierungsschlüsseln vornehmen, um die erforderlichen Protokolle ordnungsgemäß zu aktivieren.

Überprüfen der Windows-Registrierung

Konfigurieren von SChannel-Protokollen

Die folgenden Registrierungsschlüssel stellen sicher, dass das TLS 1.2-Protokoll auf der Ebene der SChannel-Komponente aktiviert ist:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Hinweis

Die gezeigten Werte werden in Windows Server 2012 R2 und neueren Versionen standardmäßig festgelegt. Wenn die Registrierungsschlüssel nicht vorhanden sind, müssen sie für diese Versionen von Windows nicht erstellt werden.

Konfigurieren von .NET Framework

Mit den folgenden Registrierungsschlüsseln wird .NET Framework für die Unterstützung starker Kryptografie konfiguriert. Weitere Informationen zum Konfigurieren von .NET Framework finden Sie hier.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

TLS-Zertifikatänderungen für Azure

TLS/SSL-Azure-Endpunkte enthalten jetzt aktualisierte Zertifikate, die mit den neuen Stammzertifizierungsstellen verkettet sind. Stellen Sie sicher, dass die folgenden Änderungen die aktualisierten Stammzertifizierungsstellen enthalten. Weitere Informationen über die möglichen Auswirkungen auf Ihre Anwendungen.

Früher waren die meisten der von Azure-Diensten verwendeten TLS-Zertifikate mit der folgenden Stammzertifizierungsstelle verkettet:

Allgemeiner Name der Zertifizierungsstelle	Fingerabdruck (SHA-1)
Baltimore CyberTrust Root	d4de20d05e66fc53fe1a50882c78db2852cae474

Heutzutage helfen TLS-Zertifikate, die von Azure-Diensten verwendet werden, bei der Verkettung mit einer der folgenden Stammzertifizierungsstellen:

Allgemeiner Name der Zertifizierungsstelle	Fingerabdruck (SHA-1)
DigiCert Global Root G2	df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert Global Root CA	a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root	d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009	58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017	73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017	999a64c37ff47d9fab95f14769891460eec4c3c5

Häufig gestellte Fragen

Warum muss TLS 1.2 aktiviert werden?

TLS 1.2 ist sicherer als ältere Kryptografieprotokolle wie SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1. Azure Backup-Dienste unterstützen TLS 1.2 bereits vollständig.

Wodurch wird das verwendete Verschlüsselungsprotokoll festgelegt?

Beim Einrichten der verschlüsselten Konversation wird die höchste Protokollversion ausgehandelt, die sowohl vom Client als auch vom Server unterstützt wird. Weitere Informationen zum TLS-Handshakeprotokoll finden Sie unter Einrichten einer sicheren Sitzung mithilfe von TLS.

Welche Auswirkungen hat es, wenn TLS 1.2 nicht aktiviert wird?

Um den Schutz vor Angriffen durch Protokolldowngrades zu verbessern, beginnt Azure Backup damit, TLS-Versionen vor 1.2 stufenweise zu deaktivieren. Dies ist Teil einer langfristigen Umstellung aller Dienste, um Verbindungen mit älteren Protokollen und Verschlüsselungssammlungen zu unterbinden. Azure Backup-Dienste und -Komponenten unterstützen TLS 1.2 vollständig. Windows-Versionen, auf denen die erforderlichen Updates oder bestimmte angepasste Konfigurationen fehlen, können jedoch dennoch verhindern, dass TLS 1.2-Protokolle bereitgestellt werden. Dies kann unter anderem zu folgenden Fehlern führen:

• Fehler bei Sicherungs- und Wiederherstellungsvorgängen
• Verbindungsfehler 10054 bei Sicherungskomponenten. (Eine vorhandene Verbindung wurde erzwungenermaßen vom Remotehost geschlossen.)
• Ungewöhnliche Starts oder Beendigungen von Diensten im Zusammenhang mit Azure Backup

Zusätzliche Ressourcen

• Transport Layer Security-Protokoll
• Sicherstellen der Unterstützung von TLS 1.2 in den bereitgestellten Betriebssystemen
• Bewährte Methoden für Transport Layer Security (TLS) mit .NET Framework