Lezen in het Engels

Delen via


Transport Layer Security in Azure Backup

Transport Layer Security (TLS) is een versleutelingsprotocol dat gegevens veilig houdt wanneer ze via een netwerk worden overgedragen. Azure Backup maakt gebruik van transportlaagbeveiliging om de privacy te beschermen van back-upgegevens die worden overgedragen. In dit artikel worden de stappen beschreven voor het inschakelen van het TLS 1.2-protocol, dat verbeterde beveiliging biedt ten opzichte van eerdere versies.

Eerdere versies van Windows

Als op de computer eerdere versies van Windows worden uitgevoerd, moeten de bijbehorende updates die hieronder worden vermeld, worden geïnstalleerd en moeten de registerwijzigingen die in de KB-artikelen worden beschreven, worden toegepast.

Besturingssysteem KB-artikel
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Notitie

Met de update worden de vereiste protocolonderdelen geïnstalleerd. Na de installatie moet u de registersleutelwijzigingen aanbrengen die worden vermeld in de bovenstaande KB-artikelen om de vereiste protocollen correct in te schakelen.

Windows-register controleren

SChannel-protocollen configureren

De volgende registersleutels zorgen ervoor dat het TLS 1.2-protocol is ingeschakeld op het onderdeelniveau SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Notitie

De weergegeven waarden zijn standaard ingesteld in Windows Server 2012 R2 en nieuwere versies. Als voor deze versies van Windows de registersleutels ontbreken, hoeven ze niet te worden gemaakt.

.NET Framework configureren

Met de volgende registersleutels configureert u .NET Framework ter ondersteuning van sterke cryptografie. Meer informatie over het configureren van .NET Framework vindt u hier.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Wijzigingen in Azure TLS-certificaat

Azure TLS/SSL-eindpunten bevatten nu bijgewerkte certificaten die zijn gekoppeld aan nieuwe basis-CA's. Zorg ervoor dat de volgende wijzigingen de bijgewerkte basis-CA's bevatten. Meer informatie over de mogelijke gevolgen voor uw toepassingen.

Eerder zijn de meeste TLS-certificaten, die door Azure-services worden gebruikt, gekoppeld aan de volgende basis-CA:

Algemene naam van CA Vingerafdruk (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

TLS-certificaten, die worden gebruikt door Azure-services, helpen bij het koppelen van een van de volgende basis-CA's:

Algemene naam van CA Vingerafdruk (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
Algemene basis-CA van DgiCert a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Veelgestelde vragen

Waarom TLS 1.2 inschakelen?

TLS 1.2 is veiliger dan eerdere cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. Azure Backup-services bieden al volledige ondersteuning voor TLS 1.2.

Wat bepaalt het gebruikte versleutelingsprotocol?

De hoogste protocolversie die wordt ondersteund door zowel de client als de server, wordt onderhandeld om het versleutelde gesprek tot stand te brengen. Zie Een beveiligde sessie maken met behulp van TLS voor meer informatie over het TLS-handshake-protocol.

Wat is de impact van het niet inschakelen van TLS 1.2?

Voor verbeterde beveiliging tegen protocol downgrade-aanvallen begint Azure Backup TLS-versies uit te schakelen die ouder zijn dan 1.2 op een gefaseerde manier. Dit maakt deel uit van een langdurige verschuiving tussen services om verouderde protocol- en coderingssuiteverbindingen niet toe te laten. Azure Backup-services en -onderdelen ondersteunen TLS 1.2 volledig. Windows-versies zonder vereiste updates of bepaalde aangepaste configuraties kunnen echter nog steeds voorkomen dat TLS 1.2-protocollen worden aangeboden. Dit kan fouten veroorzaken, waaronder maar niet beperkt tot een of meer van de volgende:

  • Back-up- en herstelbewerkingen kunnen mislukken.
  • De verbindingsfouten van de back-uponderdelen met fout 10054 (een bestaande verbinding is geforceerd gesloten door de externe host).
  • Services met betrekking tot Azure Backup stoppen of starten niet zoals gebruikelijk.

Aanvullende bronnen