Transport Layer Security in Azure Backup
Transport Layer Security (TLS) is een versleutelingsprotocol dat gegevens veilig houdt wanneer ze via een netwerk worden overgedragen. Azure Backup maakt gebruik van transportlaagbeveiliging om de privacy te beschermen van back-upgegevens die worden overgedragen. In dit artikel worden de stappen beschreven voor het inschakelen van het TLS 1.2-protocol, dat verbeterde beveiliging biedt ten opzichte van eerdere versies.
Eerdere versies van Windows
Als op de computer eerdere versies van Windows worden uitgevoerd, moeten de bijbehorende updates die hieronder worden vermeld, worden geïnstalleerd en moeten de registerwijzigingen die in de KB-artikelen worden beschreven, worden toegepast.
| Besturingssysteem | KB-artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Notitie
Met de update worden de vereiste protocolonderdelen geïnstalleerd. Na de installatie moet u de wijzigingen in de registersleutel aanbrengen die worden vermeld in de bovenstaande KB-artikelen om de vereiste protocollen correct in te schakelen.
Windows-register controleren
SChannel-protocollen configureren
De volgende registersleutels zorgen ervoor dat het TLS 1.2-protocol is ingeschakeld op het niveau van het SChannel-onderdeel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Notitie
De weergegeven waarden zijn standaard ingesteld in Windows Server 2012 R2 en nieuwere versies. Voor deze versies van Windows hoeven de registersleutels niet te worden gemaakt als de registersleutels ontbreken.
.NET Framework configureren
De volgende registersleutels configureren .NET Framework om sterke cryptografie te ondersteunen. Meer informatie over het configureren van .NET Framework vindt u hier.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Wijzigingen in Azure TLS-certificaat
Azure TLS/SSL-eindpunten bevatten nu bijgewerkte certificaten die zijn gekoppeld aan nieuwe basis-CA's. Zorg ervoor dat de volgende wijzigingen de bijgewerkte basis-CA's bevatten. Meer informatie over de mogelijke gevolgen voor uw toepassingen.
Eerder waren de meeste TLS-certificaten, die door Azure-services worden gebruikt, gekoppeld aan de volgende basis-CA:
| Algemene naam van CA | Vingerafdruk (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Tls-certificaten, die worden gebruikt door Azure-services, helpen nu bij het koppelen aan een van de volgende basis-CA's:
| Algemene naam van CA | Vingerafdruk (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Veelgestelde vragen
Waarom TLS 1.2 inschakelen?
TLS 1.2 is veiliger dan eerdere cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. Azure Backup services bieden al volledige ondersteuning voor TLS 1.2.
Wat bepaalt het gebruikte versleutelingsprotocol?
Er wordt onderhandeld over de hoogste protocolversie die wordt ondersteund door zowel de client als de server om het versleutelde gesprek tot stand te brengen. Zie Een beveiligde sessie tot stand brengen met behulp van TLS voor meer informatie over het TLS-handshakeprotocol.
Wat is de impact van het niet inschakelen van TLS 1.2?
Voor verbeterde beveiliging tegen downgradeaanvallen van protocollen begint Azure Backup TLS-versies ouder dan 1.2 gefaseerd uit te schakelen. Dit maakt deel uit van een langdurige verschuiving tussen services om verouderde protocol- en coderingssuiteverbindingen niet toe te laten. Azure Backup services en onderdelen bieden volledige ondersteuning voor TLS 1.2. Windows-versies zonder vereiste updates of bepaalde aangepaste configuraties kunnen echter nog steeds verhinderen dat TLS 1.2-protocollen worden aangeboden. Dit kan fouten veroorzaken, waaronder maar niet beperkt tot een of meer van de volgende:
- Back-up- en herstelbewerkingen kunnen mislukken.
- De verbindingen van de back-uponderdelen mislukken met fout 10054 (een bestaande verbinding is geforceerd gesloten door de externe host).
- Services met betrekking tot Azure Backup stoppen of starten niet zoals gewoonlijk.
Aanvullende resources
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor