Transport Layer Security in Azure Site Recovery

Transport Layer Security (TLS) è un protocollo di crittografia che protegge i dati durante il trasferimento in rete. Azure Site Recovery usa TLS per proteggere la privacy dei dati trasferiti. Azure Site Recovery ora usa il protocollo TLS 1.2 per migliorare la sicurezza.

Abilitare TLS nelle versioni precedenti di Windows

Se il computer esegue versioni precedenti di Windows, assicurarsi di installare gli aggiornamenti corrispondenti come descritto di seguito e apportare le modifiche del Registro di sistema come documentato nei rispettivi articoli della Knowledge Base.

Sistema operativo articolo KB
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Nota

L'aggiornamento installa i componenti necessari per il protocollo. Dopo l'installazione, per abilitare i protocolli necessari, assicurarsi di aggiornare le chiavi del Registro di sistema come indicato negli articoli della Knowledge Base precedenti.

Verificare il Registro di sistema di Windows

Configurare i protocolli SChannel

Le chiavi del Registro di sistema seguenti assicurano che il protocollo TLS 1.2 sia abilitato a livello di componente SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Nota

Per impostazione predefinita, le chiavi del Registro di sistema precedenti vengono impostate nei valori visualizzati in Windows Server 2012 R2 e versioni successive. Per queste versioni di Windows, se le chiavi del Registro di sistema sono assenti, non è necessario crearle.

Configurare .NET Framework

Usare le chiavi del Registro di sistema seguenti per configurare .NET Framework che supporta la crittografia complessa. Altre informazioni sulla configurazione di .NET Framework sono disponibili qui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Domande frequenti

Perché abilitare TLS 1.2?

TLS 1.2 è più sicuro rispetto ai protocolli di crittografia precedenti, ad esempio SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. I servizi di Azure Site Recovery supportano completamente TLS 1.2.

Che cosa determina il protocollo di crittografia usato?

La versione del protocollo più recente supportata sia dal client che dal server viene negoziata per stabilire la conversazione crittografata. Per altre informazioni sul protocollo di handshake TLS, vedere Definizione di una sessione protetta tramite TLS.

Qual è l'impatto se TLS 1.2 non è abilitato?

Per migliorare la sicurezza dagli attacchi di downgrade del protocollo, Azure Site Recovery sta iniziando a disabilitare le versioni TLS precedenti alla 1.2. Questo fa parte di uno spostamento a lungo termine tra i servizi per impedire le connessioni legacy del protocollo e della suite di crittografia. I servizi e i componenti di Azure Site Recovery supportano completamente TLS 1.2. Tuttavia, le versioni di Windows senza aggiornamenti necessari o alcune configurazioni personalizzate possono comunque impedire l'offerta dei protocolli TLS 1.2. Ciò può causare errori, ad esempio uno o più degli elementi seguenti:

  • La replica potrebbe non riuscire all'origine.
  • Errori di connessione dei componenti di Azure Site Recovery con errore 10054 (una connessione esistente è stata chiusa forzatamente dall'host remoto).
  • I servizi correlati ad Azure Site Recovery non verranno arrestati o avviati come di consueto.

Risorse aggiuntive