Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come abilitare Transport Layer Security (TLS) 1.2 per Backup di Azure per garantire la trasmissione sicura dei dati sulle reti. TLS 1.2 offre una protezione avanzata rispetto alle versioni precedenti del protocollo, consentendo di proteggere i dati di backup dalle vulnerabilità e dall'accesso non autorizzato.
Versioni precedenti di Windows e aggiornamenti necessari
Se il computer esegue versioni precedenti di Windows, è necessario installare gli aggiornamenti indicati di seguito e applicare le modifiche del Registro di sistema documentate negli articoli della Knowledge Base.
| Sistema operativo | Articolo della Knowledge Base |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
L'aggiornamento installerà i componenti del protocollo necessari. Dopo l'installazione, è necessario apportare le modifiche della chiave del Registro di sistema indicate negli articoli della Knowledge Base precedenti per abilitare correttamente i protocolli necessari.
Verificare le impostazioni del Registro di sistema di Windows per TLS
Per assicurarsi che TLS 1.2 sia abilitato nel computer Windows, verificare che le impostazioni del Registro di sistema seguenti siano configurate correttamente.
Configurare i protocolli SChannel
Le chiavi del Registro di sistema seguenti assicurano che il protocollo TLS 1.2 sia abilitato a livello di componente SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
I valori visualizzati sono configurati per impostazione predefinita in Windows Server 2012 R2 e versioni più recenti. Per queste versioni di Windows, se le chiavi del Registro di sistema sono assenti, non è necessario crearle.
Configurare .NET Framework
Le chiavi del Registro di sistema seguenti configurano .NET Framework per supportare la crittografia avanzata. Per altre informazioni sulla configurazione di .NET Framework, vedere qui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Modifiche ai certificati TLS di Azure
Gli endpoint TLS/SSL di Azure contengono ora il concatenamento dei certificati aggiornati fino a nuove CA radice. Assicurarsi che le modifiche seguenti includano le CA radice aggiornate. Altre informazioni sugli effetti possibili sulle applicazioni.
In precedenza, la maggior parte dei certificati TLS usati dai servizi di Azure era concatenata alla CA radice seguente:
| Nome comune della CA | Impronta digitale (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
A questo punto, i certificati TLS usati dai servizi di Azure consentono di concatenare fino a una delle ca radice seguenti:
| Nome comune della CA | Impronta digitale (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Domande frequenti su TLS
Perché abilitare TLS 1.2?
TLS 1.2 è più sicuro dei protocolli di crittografia precedenti, ad esempio SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. I servizi di Backup di Azure supportano già completamente TLS 1.2.
Che cosa determina il protocollo di crittografia usato?
La versione del protocollo più elevata supportata sia dal client che dal server viene negoziata per stabilire la conversazione crittografata. Per altre informazioni sul protocollo handshake TLS, vedere Definizione di una sessione sicura tramite TLS.
Qual è l'impatto della mancata abilitazione di TLS 1.2?
Per migliorare la sicurezza dagli attacchi di downgrade del protocollo, Backup di Azure sta iniziando a disabilitare le versioni TLS precedenti alla 1.2 in modo graduale. Questo fa parte di uno spostamento a lungo termine tra i servizi per impedire le connessioni legacy del protocollo e della suite di crittografia. I servizi e i componenti di Backup di Azure supportano completamente TLS 1.2. Tuttavia, le versioni di Windows senza aggiornamenti necessari o alcune configurazioni personalizzate possono comunque impedire l'offerta di protocolli TLS 1.2. Ciò può causare errori, tra cui, ad esempio, uno o più degli elementi seguenti:
- Le operazioni di backup e ripristino potrebbero non riuscire.
- Errori di connessione dei componenti di backup con errore 10054 (una connessione esistente è stata chiusa forzatamente dall'host remoto).
- I servizi correlati a Backup di Azure non verranno interrotti o avviati come di consueto.