Transport Layer Security in Azure Backup
Transport Layer Security (TLS) is een versleutelingsprotocol dat gegevens veilig houdt wanneer ze via een netwerk worden overgedragen. Azure Backup maakt gebruik van transportlaagbeveiliging om de privacy te beschermen van back-upgegevens die worden overgedragen. In dit artikel worden de stappen beschreven voor het inschakelen van het TLS 1.2-protocol, dat verbeterde beveiliging biedt ten opzichte van eerdere versies.
Als op de computer eerdere versies van Windows worden uitgevoerd, moeten de bijbehorende updates die hieronder worden vermeld, worden geïnstalleerd en moeten de registerwijzigingen die in de KB-artikelen worden beschreven, worden toegepast.
Besturingssysteem | KB-artikel |
---|---|
Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Notitie
Met de update worden de vereiste protocolonderdelen geïnstalleerd. Na de installatie moet u de registersleutelwijzigingen aanbrengen die worden vermeld in de bovenstaande KB-artikelen om de vereiste protocollen correct in te schakelen.
De volgende registersleutels zorgen ervoor dat het TLS 1.2-protocol is ingeschakeld op het onderdeelniveau SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Notitie
De weergegeven waarden zijn standaard ingesteld in Windows Server 2012 R2 en nieuwere versies. Als voor deze versies van Windows de registersleutels ontbreken, hoeven ze niet te worden gemaakt.
Met de volgende registersleutels configureert u .NET Framework ter ondersteuning van sterke cryptografie. Meer informatie over het configureren van .NET Framework vindt u hier.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS/SSL-eindpunten bevatten nu bijgewerkte certificaten die zijn gekoppeld aan nieuwe basis-CA's. Zorg ervoor dat de volgende wijzigingen de bijgewerkte basis-CA's bevatten. Meer informatie over de mogelijke gevolgen voor uw toepassingen.
Eerder zijn de meeste TLS-certificaten, die door Azure-services worden gebruikt, gekoppeld aan de volgende basis-CA:
Algemene naam van CA | Vingerafdruk (SHA1) |
---|---|
Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
TLS-certificaten, die worden gebruikt door Azure-services, helpen bij het koppelen van een van de volgende basis-CA's:
Algemene naam van CA | Vingerafdruk (SHA1) |
---|---|
DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
Algemene basis-CA van DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
TLS 1.2 is veiliger dan eerdere cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. Azure Backup-services bieden al volledige ondersteuning voor TLS 1.2.
De hoogste protocolversie die wordt ondersteund door zowel de client als de server, wordt onderhandeld om het versleutelde gesprek tot stand te brengen. Zie Een beveiligde sessie maken met behulp van TLS voor meer informatie over het TLS-handshake-protocol.
Voor verbeterde beveiliging tegen protocol downgrade-aanvallen begint Azure Backup TLS-versies uit te schakelen die ouder zijn dan 1.2 op een gefaseerde manier. Dit maakt deel uit van een langdurige verschuiving tussen services om verouderde protocol- en coderingssuiteverbindingen niet toe te laten. Azure Backup-services en -onderdelen ondersteunen TLS 1.2 volledig. Windows-versies zonder vereiste updates of bepaalde aangepaste configuraties kunnen echter nog steeds voorkomen dat TLS 1.2-protocollen worden aangeboden. Dit kan fouten veroorzaken, waaronder maar niet beperkt tot een of meer van de volgende:
- Back-up- en herstelbewerkingen kunnen mislukken.
- De verbindingsfouten van de back-uponderdelen met fout 10054 (een bestaande verbinding is geforceerd gesloten door de externe host).
- Services met betrekking tot Azure Backup stoppen of starten niet zoals gebruikelijk.