Transport Layer Security w usłudze Azure Site Recovery
Transport Layer Security (TLS) to protokół szyfrowania, który zapewnia bezpieczeństwo danych podczas przesyłania za pośrednictwem sieci. Usługa Azure Site Recovery używa protokołu TLS do ochrony prywatności przesyłanych danych. Usługa Azure Site Recovery używa teraz protokołu TLS 1.2 w celu zwiększenia bezpieczeństwa.
Włączanie protokołu TLS w starszych wersjach systemu Windows
Jeśli maszyna jest uruchomiona we wcześniejszych wersjach systemu Windows, upewnij się, że zainstaluj odpowiednie aktualizacje zgodnie z poniższym opisem i wprowadź zmiany rejestru zgodnie z opisem w odpowiednich artykułach kb.
| System operacyjny | Artykuł z bazy wiedzy |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Uwaga
Aktualizacja instaluje wymagane składniki protokołu. Po zainstalowaniu, aby włączyć wymagane protokoły, upewnij się, że należy zaktualizować klucze rejestru, jak wspomniano w powyższych artykułach KB.
Weryfikowanie rejestru systemu Windows
Konfigurowanie protokołów SChannel
Następujące klucze rejestru zapewniają włączenie protokołu TLS 1.2 na poziomie składnika SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Uwaga
Domyślnie powyższe klucze rejestru są ustawiane w wartościach wyświetlanych w Windows Server 2012 R2 i nowszych wersjach. W przypadku tych wersji systemu Windows, jeśli klucze rejestru są nieobecne, nie trzeba ich tworzyć.
Konfigurowanie .NET Framework
Użyj następujących kluczy rejestru, aby skonfigurować .NET Framework, które obsługują silną kryptografię. Dowiedz się więcej na temat konfigurowania .NET Framework tutaj.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Często zadawane pytania
Dlaczego warto włączyć protokół TLS 1.2?
Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Usługi Azure Site Recovery w pełni obsługują protokół TLS 1.2.
Co określa używany protokół szyfrowania?
Najwyższa wersja protokołu obsługiwana zarówno przez klienta, jak i serwer jest negocjowana w celu nawiązania zaszyfrowanej konwersacji. Aby uzyskać więcej informacji na temat protokołu uzgadniania TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.
Jaki jest wpływ, jeśli protokół TLS 1.2 nie jest włączony?
W przypadku ulepszonych zabezpieczeń przed atakami obniżania poziomu protokołu usługa Azure Site Recovery zaczyna wyłączać wersje protokołu TLS starsze niż 1.2. Jest to część długoterminowej zmiany między usługami, aby uniemożliwić starsze połączenia protokołu i pakietu szyfrowania. Usługi i składniki platformy Azure Site Recovery w pełni obsługują protokół TLS 1.2. Jednak wersje systemu Windows nie mają wymaganych aktualizacji lub niektóre dostosowane konfiguracje mogą nadal uniemożliwiać oferowanie protokołów TLS 1.2. Może to spowodować błędy, w tym co najmniej jeden z następujących elementów:
- Replikacja może zakończyć się niepowodzeniem w źródle.
- Błędy połączeń składników usługi Azure Site Recovery z błędem 10054 (istniejące połączenie zostało wymuszone przez hosta zdalnego).
- Usługi związane z usługą Azure Site Recovery nie będą zatrzymywane ani uruchamiane jak zwykle.