Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo habilitar la seguridad de la capa de transporte (TLS) 1.2 para Azure Backup para garantizar la transmisión segura de datos a través de redes. TLS 1.2 ofrece protección mejorada en comparación con versiones anteriores del protocolo, lo que ayuda a proteger los datos de copia de seguridad frente a vulnerabilidades y acceso no autorizado.
Versiones anteriores de Windows y actualizaciones necesarias
Si el equipo ejecuta versiones anteriores de Windows, se deben instalar las actualizaciones correspondientes que se indican a continuación y se deben aplicar los cambios de registro documentados en los artículos de KB.
| Sistema operativo | artículo de KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota:
La actualización instalará los componentes de protocolo necesarios. Después de la instalación, debe realizar los cambios en la clave del Registro mencionados en los artículos de KB anteriores para habilitar correctamente los protocolos necesarios.
Comprobación de la configuración del Registro de Windows para TLS
Para asegurarse de que TLS 1.2 está habilitado en la máquina Windows, compruebe que las siguientes opciones del Registro están configuradas correctamente.
Configuración de protocolos SChannel
Las siguientes claves del Registro garantizan que el protocolo TLS 1.2 está habilitado en el nivel de componente de SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota:
Los valores que se muestran se establecen de forma predeterminada en Windows Server 2012 R2 y versiones más recientes. En el caso de estas versiones de Windows, si las claves del Registro no están presentes, no es necesario crearlas.
Configuración de .NET Framework
Las claves del Registro siguientes configuran .NET Framework para que admita la criptografía segura. Puede obtener más información sobre la configuración de .NET Framework aquí.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Cambios en los certificados TLS de Azure
Los puntos de conexión de TLS/SSL de Azure ahora contienen certificados actualizados que se encadenan a las nuevas entidades de certificación raíz. Asegúrese de que los siguientes cambios incluyen las entidades de certificación raíz actualizadas. Obtenga más información sobre los posibles impactos en las aplicaciones.
Anteriormente, la mayoría de los certificados TLS usados por los servicios de Azure se encadenaban a la siguiente entidad de certificación raíz:
| Nombre común de la entidad de certificación | Huella digital (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Ahora, los certificados TLS usados por los servicios de Azure ayudan a encadenarse a una de las siguientes entidades de certificación raíz:
| Nombre común de la entidad de certificación | Huella digital (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Autoridad de certificación raíz RSA de Microsoft 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Autoridad de Certificación Raíz de Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Preguntas más frecuentes sobre TLS
¿Por qué habilitar TLS 1.2?
TLS 1.2 es más seguro que los protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1. Los servicios de Azure Backup ya admiten totalmente TLS 1.2.
¿Qué determina el protocolo de cifrado usado?
La versión de protocolo más alta admitida por el cliente y el servidor se negocia para establecer la conversación cifrada. Para obtener más información sobre el protocolo de enlace TLS, vea Establecimiento de una sesión segura mediante TLS.
¿Cuál es el impacto de no habilitar TLS 1.2?
Para mejorar la seguridad de los ataques por degradación del protocolo, Azure Backup está empezando a deshabilitar las versiones de TLS anteriores a 1.2 de forma escalonada. Esto forma parte de un cambio a largo plazo en los servicios para prohibir las conexiones de protocolos heredados y conjuntos de cifrado. Los servicios y los componentes de Azure Backup son totalmente compatibles con TLS 1.2. Sin embargo, las versiones de Windows que carecen de actualizaciones necesarias o de ciertas configuraciones personalizadas pueden seguir impidiendo la oferta de protocolos TLS 1.2. Esto puede causar errores, incluidos, entre otros, uno o varios de los siguientes:
- Posibles errores en las operaciones de copia de seguridad y restauración.
- Errores de conexión de componentes de copia de seguridad 10054 (el host remoto ha cerrado forzosamente una conexión existente).
- Los servicios relacionados con Azure Backup no se detendrán o iniciarán del modo habitual.