Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogyan engedélyezheti a Transport Layer Security (TLS) 1.2-es verziót az Azure Backuphoz a hálózatokon keresztüli biztonságos adatátvitel biztosítása érdekében. A TLS 1.2 továbbfejlesztett védelmet nyújt a korábbi protokollverziókhoz képest, így védelmet nyújt a biztonsági mentési adatoknak a biztonsági résekkel és a jogosulatlan hozzáféréssel szemben.
A Windows korábbi verziói és a szükséges frissítések
Ha a gép a Windows korábbi verzióit futtatja, az alább felsorolt megfelelő frissítéseket telepíteni kell, és alkalmazni kell a TUDÁSBÁZIS-cikkekben dokumentált beállításjegyzék-módosításokat.
Feljegyzés
Windows Server 2008, 2008 R2, 2012 és 2012 R2 elérte a támogatás megszűnését (EOS). Tekintse át a használatot, és tervezze meg ennek megfelelően az operációs rendszer frissítéseit és migrálásait. További információ: Támogatás megszűnése:
A Windows Server 2016, 2019, 2022 vagy 2025 verzióra történő helyszíni frissítés.
| Operációs rendszer | tudásbázis cikk |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Feljegyzés
A frissítés telepíti a szükséges protokollösszetevőket. A telepítést követően a szükséges protokollok megfelelő engedélyezéséhez a fenti TUDÁSBÁZIS-cikkekben említett beállításkulcs-módosításokat kell végrehajtania.
A Windows beállításjegyzék-beállításainak ellenőrzése a TLS-hez
Annak ellenőrzéséhez, hogy a TLS 1.2 engedélyezve van-e a Windows-gépen, ellenőrizze, hogy az alábbi beállításjegyzék-beállítások megfelelően vannak-e konfigurálva.
SChannel-protokollok konfigurálása
A következő beállításkulcsok biztosítják, hogy a TLS 1.2 protokoll engedélyezve legyen az SChannel összetevő szintjén:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Feljegyzés
A megjelenített értékek alapértelmezés szerint a Windows Server 2012 R2 és az újabb verziókban vannak beállítva. A Windows ezen verziói esetében, ha a beállításkulcsok hiányoznak, nem kell létrehozni őket.
A .NET-keretrendszer konfigurálása
Az alábbi beállításkulcsok konfigurálják a .NET-keretrendszer az erős titkosítás támogatására. A .NET-keretrendszer konfigurálásáról itt olvashat bővebben.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS-tanúsítványváltozások
Az Azure TLS/SSL-végpontok mostantól frissített tanúsítványokat tartalmaznak, amelyek az új legfelső szintű hitelesítésszolgáltatókhoz láncolnak. Győződjön meg arról, hogy a következő módosítások tartalmazzák a frissített gyökér hitelesítésszolgáltatókat. További információ az alkalmazásokra gyakorolt lehetséges hatásokról.
Korábban az Azure-szolgáltatások által használt TLS-tanúsítványok többsége a következő legfelső szintű hitelesítésszolgáltatóhoz van láncolva:
| A hitelesítésszolgáltató általános neve | Ujjlenyomat (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Az Azure-szolgáltatások által használt TLS-tanúsítványok mostantól az alábbi legfelső szintű hitelesítésszolgáltatók egyikéhez láncolnak:
| A hitelesítésszolgáltató általános neve | Ujjlenyomat (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| A DgiCert globális legfelső szintű hitelesítésszolgáltatója | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST root class 3 CA 2 2009 | 58e8Abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA főtanúsítvány-szolgáltató 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC főtanúsítvány-szolgáltató 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
A TLS-hez kapcsolódó gyakori kérdések
Miért érdemes engedélyezni a TLS 1.2-t?
A TLS 1.2 biztonságosabb, mint a korábbi titkosítási protokollok, például az SSL 2.0, az SSL 3.0, a TLS 1.0 és a TLS 1.1. Az Azure Backup-szolgáltatások már teljes mértékben támogatják a TLS 1.2-t.
Mi határozza meg a használt titkosítási protokollt?
Az ügyfél és a kiszolgáló által támogatott legmagasabb protokollverzió egyeztetése történik a titkosított beszélgetés létrehozásához. A TLS kézfogási protokollról további információt a Biztonságos munkamenet létrehozása TLS használatával című témakörben talál.
Milyen hatással van a TLS 1.2 engedélyezésének mellőzése?
A protokoll-leminősítési támadások nagyobb biztonsága érdekében az Azure Backup szakaszos módon kezdi letiltani az 1.2-nél régebbi TLS-verziókat. Ez egy hosszú távú váltás része a szolgáltatások között az örökölt protokollok és a titkosítási csomag kapcsolatainak letiltása érdekében. Az Azure Backup-szolgáltatások és -összetevők teljes mértékben támogatják a TLS 1.2-t. A szükséges frissítéseket vagy bizonyos testreszabott konfigurációkat nem tartalmazó Windows-verziók azonban továbbra is megakadályozhatják a TLS 1.2 protokollok használatát. Ez hibákhoz vezethet, többek között az alábbiak egyikére vagy többre:
- A biztonsági mentési és visszaállítási műveletek sikertelenek lehetnek.
- A biztonsági mentési összetevők kapcsolata 10054-es hibával meghiúsult (egy meglévő kapcsolatot a távoli gazdagép kényszerítetten bezárt).
- Az Azure Backuphoz kapcsolódó szolgáltatások nem állnak le és nem indulnak el a szokásos módon.