Condividi tramite


Transport Layer Security in Azure Site Recovery

Transport Layer Security (TLS) è un protocollo di crittografia che consente di proteggere i dati durante il trasferimento in rete. Azure Site Recovery usa TLS per proteggere la privacy dei dati trasferiti. Azure Site Recovery ora usa il protocollo TLS 1.2 per migliorare la sicurezza.

Abilitare TLS nelle versioni precedenti di Windows

Se il computer esegue versioni precedenti di Windows, assicurarsi di installare gli aggiornamenti corrispondenti come descritto di seguito e apportare le modifiche del Registro di sistema come documentato nei rispettivi articoli della Knowledge Base.

Sistema operativo Articolo della Knowledge Base
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Nota

L'aggiornamento installa i componenti necessari per il protocollo. Dopo l'installazione, per abilitare i protocolli necessari, assicurarsi di aggiornare le chiavi del Registro di sistema come indicato negli articoli della Knowledge Base precedenti.

Verificare il Registro di sistema di Windows

Configurare i protocolli SChannel

Le chiavi del Registro di sistema seguenti assicurano che il protocollo TLS 1.2 sia abilitato a livello di componente SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Nota

Per impostazione predefinita, le chiavi del Registro di sistema precedenti vengono impostate nei valori visualizzati in Windows Server 2012 R2 e versioni successive. Per queste versioni di Windows, se le chiavi del Registro di sistema sono assenti, non è necessario crearle.

Configurare .NET Framework

Usare le chiavi del Registro di sistema seguenti per configurare .NET Framework che supporta la crittografia avanzata. Altre informazioni sulla configurazione di .NET Framework sono disponibili qui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001

Nota

Se le chiavi del Registro di sistema sono assenti, non è necessario crearle per Windows Server 2012 R2 o versioni successive se TLS 1.2 è abilitato nei protocolli SChannel.

Domande frequenti

Perché abilitare TLS 1.2?

TLS 1.2 è più sicuro dei protocolli di crittografia precedenti, ad esempio SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. I servizi Azure Site Recovery supportano completamente TLS 1.2.

Che cosa determina il protocollo di crittografia usato?

La versione del protocollo più elevata supportata sia dal client che dal server viene negoziata per stabilire la conversazione crittografata. Per altre informazioni sul protocollo handshake TLS, vedere Definizione di una sessione sicura tramite TLS.

Qual è l'impatto se TLS 1.2 non è abilitato?

Per migliorare la sicurezza dagli attacchi di downgrade del protocollo, Azure Site Recovery sta iniziando a disabilitare le versioni TLS precedenti alla 1.2. Questo fa parte di uno spostamento a lungo termine tra i servizi per impedire le connessioni legacy del protocollo e della suite di crittografia. I servizi e i componenti di Azure Site Recovery supportano completamente TLS 1.2. Tuttavia, le versioni di Windows senza aggiornamenti necessari o alcune configurazioni personalizzate possono comunque impedire l'offerta di protocolli TLS 1.2. Ciò può causare errori, tra cui, ad esempio, uno o più degli elementi seguenti:

  • La replica potrebbe non riuscire all'origine.
  • Errori di connessione dei componenti di Azure Site Recovery con errore 10054 (una connessione esistente è stata chiusa forzatamente dall'host remoto).
  • I servizi correlati ad Azure Site Recovery non verranno interrotti o avviati come di consueto.

Risorse aggiuntive