Transport Layer Security in Azure Backup
Transport Layer Security (TLS) to protokół szyfrowania, który zapewnia bezpieczeństwo danych podczas przesyłania za pośrednictwem sieci. Usługa Azure Backup używa zabezpieczeń warstwy transportu w celu ochrony prywatności przesyłanych danych kopii zapasowych. W tym artykule opisano kroki włączania protokołu TLS 1.2, który zapewnia lepsze zabezpieczenia w porównaniu z poprzednimi wersjami.
Starsze wersje systemu Windows
Jeśli na maszynie jest uruchomiona wcześniejsza wersja systemu Windows, należy zainstalować odpowiednie aktualizacje wymienione poniżej, a zmiany rejestru udokumentowane w artykułach BAZY wiedzy muszą być stosowane.
| System operacyjny | Artykuł z bazy wiedzy |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Uwaga
Aktualizacja zainstaluje wymagane składniki protokołu. Po zakończeniu instalacji należy wprowadzić zmiany klucza rejestru wymienione w powyższych artykułach bazy wiedzy, aby prawidłowo włączyć wymagane protokoły.
Weryfikowanie rejestru systemu Windows
Konfigurowanie protokołów SChannel
Następujące klucze rejestru zapewniają włączenie protokołu TLS 1.2 na poziomie składnika SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Uwaga
Wyświetlane wartości są domyślnie ustawiane w systemie Windows Server 2012 R2 i nowszych wersjach. W przypadku tych wersji systemu Windows, jeśli klucze rejestru są nieobecne, nie trzeba ich tworzyć.
Konfigurowanie programu .NET Framework
Następujące klucze rejestru konfigurują program .NET Framework w celu obsługi silnej kryptografii. Więcej informacji na temat konfigurowania programu .NET Framework można znaleźć tutaj.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Zmiany certyfikatu TLS platformy Azure
Punkty końcowe protokołu TLS/SSL platformy Azure zawierają teraz zaktualizowane certyfikaty w łańcuchu do nowych głównych urzędów certyfikacji. Upewnij się, że następujące zmiany obejmują zaktualizowane główne urzędy certyfikacji. Dowiedz się więcej o możliwym wpływie na aplikacje.
Wcześniej większość certyfikatów TLS używanych przez usługi platformy Azure była w łańcuchu do następującego głównego urzędu certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Teraz certyfikaty TLS, używane przez usługi platformy Azure, pomagają w łańcuchu do jednego z następujących głównych urzędów certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Globalny katalog główny G2 firmy DigiCert | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Globalny urząd certyfikacji DgiCert | a8985d3a65e5e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| Klasa główna D-TRUST 3 CA 2 2009 | 58e8abb036153fb80f79b1b6d29d3ff8d5f00f0 |
| Główny urząd certyfikacji MICROSOFT RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eee4d74 |
| Główny urząd certyfikacji usługi Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Często zadawane pytania
Dlaczego warto włączyć protokół TLS 1.2?
Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Usługi Azure Backup już w pełni obsługują protokół TLS 1.2.
Co określa używany protokół szyfrowania?
Najwyższa wersja protokołu obsługiwana przez klienta i serwer jest negocjowana w celu ustanowienia zaszyfrowanej konwersacji. Aby uzyskać więcej informacji na temat protokołu uzgadniania TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.
Jaki jest wpływ na brak włączania protokołu TLS 1.2?
W przypadku ulepszonych zabezpieczeń przed atakami na starszą wersję protokołu usługa Azure Backup zaczyna wyłączać wersje protokołu TLS starsze niż 1.2 w sposób etapowy. Jest to część długoterminowej zmiany między usługami, aby uniemożliwić starsze połączenia protokołu i pakietu szyfrowania. Usługi i składniki usługi Azure Backup w pełni obsługują protokół TLS 1.2. Jednak wersje systemu Windows nie mają wymaganych aktualizacji lub niektórych dostosowanych konfiguracji nadal mogą uniemożliwić oferowanie protokołów TLS 1.2. Może to spowodować błędy, w tym co najmniej jeden z następujących elementów:
- Operacje tworzenia kopii zapasowych i przywracania mogą zakończyć się niepowodzeniem.
- Błędy połączeń składników kopii zapasowej z błędem 10054 (Istniejące połączenie zostało wymuszone przez hosta zdalnego).
- Usługi związane z usługą Azure Backup nie będą zatrzymywane ani uruchamiane jak zwykle.