Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u Transport Layer Security (TLS) 1.2 inschakelt voor Azure Backup om beveiligde gegevensoverdracht via netwerken te garanderen. TLS 1.2 biedt verbeterde beveiliging in vergelijking met eerdere protocolversies, waardoor back-upgegevens worden beschermd tegen beveiligingsproblemen en onbevoegde toegang.
Eerdere versies van Windows en vereiste updates
Als op de computer eerdere versies van Windows worden uitgevoerd, moeten de bijbehorende updates die hieronder worden vermeld, worden geïnstalleerd en moeten de registerwijzigingen die in de KB-artikelen worden beschreven, worden toegepast.
| besturingssysteem | KB-artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Note
Met de update worden de vereiste protocolonderdelen geïnstalleerd. Na de installatie moet u de registersleutelwijzigingen aanbrengen die worden vermeld in de bovenstaande KB-artikelen om de vereiste protocollen correct in te schakelen.
Windows-registerinstellingen voor TLS controleren
Controleer of de volgende registerinstellingen juist zijn geconfigureerd om ervoor te zorgen dat TLS 1.2 is ingeschakeld op uw Windows-computer.
SChannel-protocollen configureren
De volgende registersleutels zorgen ervoor dat het TLS 1.2-protocol is ingeschakeld op het onderdeelniveau SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Note
De weergegeven waarden zijn standaard ingesteld in Windows Server 2012 R2 en nieuwere versies. Als voor deze versies van Windows de registersleutels ontbreken, hoeven ze niet te worden gemaakt.
.NET Framework configureren
Met de volgende registersleutels configureert u .NET Framework ter ondersteuning van sterke cryptografie. Meer informatie over het configureren van .NET Framework vindt u hier.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Wijzigingen in Azure TLS-certificaten
Azure TLS/SSL-eindpunten bevatten nu bijgewerkte certificaten die zijn gekoppeld aan nieuwe basis-CA's. Zorg ervoor dat de volgende wijzigingen de bijgewerkte basis-CA's bevatten. Meer informatie over de mogelijke gevolgen voor uw toepassingen.
Eerder zijn de meeste TLS-certificaten, die door Azure-services worden gebruikt, gekoppeld aan de volgende basis-CA:
| Algemene naam van de certificaatautoriteit (CA) | Vingerafdruk (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
TLS-certificaten, die worden gebruikt door Azure-services, helpen bij het koppelen van een van de volgende basis-CA's:
| Algemene naam van de certificaatautoriteit (CA) | Vingerafdruk (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST-basisklasse 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Veelgestelde vragen over TLS
Waarom TLS 1.2 inschakelen?
TLS 1.2 is veiliger dan eerdere cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. Azure Backup-services bieden al volledige ondersteuning voor TLS 1.2.
Wat bepaalt het gebruikte versleutelingsprotocol?
De hoogste protocolversie die wordt ondersteund door zowel de client als de server, wordt onderhandeld om het versleutelde gesprek tot stand te brengen. Zie Een beveiligde sessie maken met behulp van TLS voor meer informatie over het TLS-handshake-protocol.
Wat is de impact van het niet inschakelen van TLS 1.2?
Voor verbeterde beveiliging tegen protocol downgrade-aanvallen begint Azure Backup TLS-versies uit te schakelen die ouder zijn dan 1.2 op een gefaseerde manier. Dit maakt deel uit van een langdurige verschuiving tussen services om verouderde protocol- en coderingssuiteverbindingen niet toe te laten. Azure Backup-services en -onderdelen ondersteunen TLS 1.2 volledig. Windows-versies zonder vereiste updates of bepaalde aangepaste configuraties kunnen echter nog steeds voorkomen dat TLS 1.2-protocollen worden aangeboden. Dit kan fouten veroorzaken, waaronder maar niet beperkt tot een of meer van de volgende:
- Back-up- en herstelbewerkingen kunnen mislukken.
- De verbindingsfouten bij de back-uponderdelen met fout 10054 (een bestaande verbinding werd geforceerd gesloten door de externe host).
- Services met betrekking tot Azure Backup stoppen of starten niet zoals gebruikelijk.