Compartilhar via


Segurança da camada de transporte no Backup do Azure

O TLS é um protocolo de criptografia que protege os dados durante transferências em redes. O Backup do Azure usa o protocolo TLS para proteger a privacidade dos dados de backup durante transferências. Este artigo descreve como habilitar o protocolo TLS 1.2, que oferece maior segurança em relação às versões anteriores.

Versões anteriores do Windows

Em computadores que usam versões anteriores do Windows, é necessário instalar as atualizações correspondentes indicadas abaixo, bem como aplicar as alterações documentadas nos artigos KB no Registro.

Sistema operacional artigos da base de dados
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Observação

A atualização instala os componentes de protocolo necessários. Depois da instalação, você deve fazer as alterações indicadas nos artigos do KB nas chaves do Registro para habilitar os protocolos necessários.

Verificar o Registro do Windows

Configurar protocolos SChannel

As chaves de Registro abaixo habilitam o protocolo TLS 1.2 no nível de componentes SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Observação

Os valores mostrados são definidos por padrão no Windows Server 2012 R2 e em versões mais recentes. Nessas versões do Windows, não é necessário criar as chaves do Registro caso estejam ausentes.

Configurar o .NET Framework

As chaves do Registro abaixo configuram o .NET Framework para dar suporte para criptografia forte. Leia mais sobre a configuração do .NET Framework aqui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Alterações no certificado TLS do Azure

Os pontos de extremidade do TLS/SSL do Azure agora contêm o encadeamento de certificados atualizados até as novas ACs raiz. Verifique se as alterações a seguir incluem os CAs raiz atualizados. Saiba mais sobre os possíveis impactos em seus aplicativos.

Anteriormente, a maioria dos certificados TLS, usados pelos serviços do Azure, eram encadeados à seguinte AC raiz:

Nome comum da AC Impressão digital (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

Agora, os certificados TLS, usados pelos serviços do Azure, ajudam a encadear até uma das seguintes ACs raiz:

Nome comum da AC Impressão digital (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Perguntas frequentes

Por que habilitar o TLS 1.2?

O TLS 1.2 é mais seguro que os protocolos de criptografia anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Backup do Azure já dão suporte completo para o TLS 1.2.

O que determina o protocolo de criptografia usado?

A versão do protocolo mais alta com suporte do cliente e do servidor é negociada para estabelecer a conversa criptografada. Veja mais informações sobre o protocolo de handshake do TLS em Estabelecer uma sessão segura usando TLS.

Qual é o impacto de não habilitar o TLS 1.2?

Para aumentar a segurança contra ataques de downgrade de protocolo, o Backup do Azure está começando a desabilitar as versões do TLS anteriores à 1.2 em fases. Isso faz parte de uma mudança de longo prazo entre serviços para não permitir conexões de protocolos e conjuntos de criptografia herdados. Os serviços e os componentes do Backup do Azure dão suporte total para o TLS 1.2. No entanto, as versões do Windows que não têm atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a oferta de protocolos TLS 1.2. Isso pode causar falhas, incluindo, entre outras:

  • Falha das operações de backup e restauração.
  • As conexões dos componentes de backup falham com o erro 10054 (uma conexão existente foi fechada à força pelo host remoto).
  • Os serviços relacionados ao Backup do Azure não serão parados nem iniciados como de costume.

Recursos adicionais