Transport Layer Security w Azure Backup
Transport Layer Security (TLS) to protokół szyfrowania, który zapewnia bezpieczeństwo danych podczas przesyłania przez sieć. Azure Backup używa zabezpieczeń warstwy transportu do ochrony prywatności przesyłanych danych kopii zapasowych. W tym artykule opisano kroki włączania protokołu TLS 1.2, który zapewnia lepsze zabezpieczenia w porównaniu z poprzednimi wersjami.
Wcześniejsze wersje systemu Windows
Jeśli na maszynie są uruchomione wcześniejsze wersje systemu Windows, należy zainstalować odpowiednie aktualizacje wymienione poniżej, a zmiany rejestru udokumentowane w artykułach bazy wiedzy muszą być stosowane.
| System operacyjny | Artykuł bazy wiedzy |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Uwaga
Aktualizacja zainstaluje wymagane składniki protokołu. Po zakończeniu instalacji należy wprowadzić zmiany klucza rejestru wymienione w powyższych artykułach bazy wiedzy, aby prawidłowo włączyć wymagane protokoły.
Weryfikowanie rejestru systemu Windows
Konfigurowanie protokołów SChannel
Następujące klucze rejestru zapewniają włączenie protokołu TLS 1.2 na poziomie składnika SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Uwaga
Wyświetlane wartości są domyślnie ustawiane w Windows Server 2012 R2 i nowszych wersjach. W przypadku tych wersji systemu Windows, jeśli klucze rejestru są nieobecne, nie trzeba ich tworzyć.
Konfigurowanie .NET Framework
Następujące klucze rejestru konfigurują .NET Framework do obsługi silnej kryptografii. Więcej informacji na temat konfigurowania .NET Framework można znaleźć tutaj.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Zmiany certyfikatu TLS platformy Azure
Punkty końcowe protokołu TLS/SSL platformy Azure zawierają teraz zaktualizowane certyfikaty służące do tworzenia łańcuchów do nowych głównych urzędów certyfikacji. Upewnij się, że następujące zmiany obejmują zaktualizowane główne urzędy certyfikacji. Dowiedz się więcej o możliwym wpływie na aplikacje.
Wcześniej większość certyfikatów TLS używanych przez usługi platformy Azure była w łańcuchu do następującego głównego urzędu certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Teraz certyfikaty TLS używane przez usługi platformy Azure ułatwiają łączenie się z jednym z następujących głównych urzędów certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Globalny główny urząd certyfikacji DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Główny urząd certyfikacji RSA firmy Microsoft 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Główny urząd certyfikacji ECC firmy Microsoft 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Często zadawane pytania
Dlaczego warto włączyć protokół TLS 1.2?
Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Azure Backup usługi już w pełni obsługują protokół TLS 1.2.
Co określa używany protokół szyfrowania?
Najwyższa wersja protokołu obsługiwana przez klienta i serwer jest negocjowana w celu ustanowienia zaszyfrowanej konwersacji. Aby uzyskać więcej informacji na temat protokołu uzgadniania TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.
Jaki jest wpływ braku włączania protokołu TLS 1.2?
Aby zwiększyć bezpieczeństwo ataków na starszą wersję protokołu, Azure Backup zaczyna wyłączać wersje protokołu TLS starsze niż 1.2 w sposób etapowy. Jest to część długoterminowej zmiany między usługami, aby uniemożliwić starsze połączenia protokołu i pakietu szyfrowania. Azure Backup usług i składników w pełni obsługują protokół TLS 1.2. Jednak wersje systemu Windows nie mają wymaganych aktualizacji lub niektórych dostosowanych konfiguracji nadal mogą uniemożliwić oferowanie protokołów TLS 1.2. Może to spowodować błędy, w tym co najmniej jeden z następujących elementów:
- Operacje tworzenia i przywracania kopii zapasowych mogą zakończyć się niepowodzeniem.
- Błędy połączeń składników kopii zapasowej z błędem 10054 (Istniejące połączenie zostało wymuszone przez hosta zdalnego).
- Usługi związane z Azure Backup nie będą zatrzymywane ani uruchamiane w zwykły sposób.