Share via


Protocolo TLS no Azure Site Recovery

O TLS é um protocolo de criptografia que protege os dados durante transferências em redes. O Azure Site Recovery usa o TLS para proteger a privacidade dos dados que estão sendo transferidos. O Azure Site Recovery agora usa o protocolo TLS 1.2 para aumentar a segurança.

Habilitar o TLS em versões mais antigas do Windows

Se o computador estiver executando versões anteriores do Windows, instale as atualizações correspondentes conforme detalhado abaixo e faça as alterações de Registro conforme documentado nos respectivos artigos de base de dados de conhecimento.

Sistema operacional artigos da base de dados
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Observação

A atualização instala os componentes necessários para o protocolo. Após a instalação, para habilitar os protocolos necessários, atualize as chaves do Registro, conforme mencionado nos artigos de base de dados de conhecimento acima.

Verificar o Registro do Windows

Configurar protocolos SChannel

As chaves de Registro abaixo habilitam o protocolo TLS 1.2 no nível de componentes SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Observação

Por padrão, as chaves do Registro acima são definidas nos valores mostrados no Windows Server 2012 R2 e em versões posteriores. Nessas versões do Windows, se as chaves do Registro estiverem ausentes, você não precisará criá-las.

Configurar o .NET Framework

Use as chaves do Registro a seguir para configurar o .NET Framework que dá suporte à criptografia forte. Leia mais sobre como configurar o .NET Framework aqui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Perguntas frequentes

Por que habilitar o TLS 1.2?

O TLS 1.2 é mais seguro que os protocolos de criptografia anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Azure Site Recovery dão suporte completo ao TLS 1.2.

O que determina o protocolo de criptografia usado?

A versão do protocolo mais alta com suporte do cliente e do servidor é negociada para estabelecer a conversa criptografada. Veja mais informações sobre o protocolo de handshake do TLS em Estabelecer uma sessão segura usando TLS.

Qual será o impacto se o TLS 1.2 não estiver habilitado?

Para aumentar a segurança contra ataques de downgrade de protocolo, o Azure Site Recovery está começando a desabilitar as versões do TLS anteriores à 1.2. Isso faz parte de uma mudança de longo prazo entre serviços para não permitir conexões de protocolos e conjuntos de criptografia herdados. Os serviços e componentes do Azure Site Recovery dão suporte completo ao TLS 1.2. No entanto, as versões do Windows que não têm atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a oferta de protocolos TLS 1.2. Isso pode causar falhas, incluindo, entre outras:

  • A replicação pode falhar na origem.
  • Falhas de conexões de componentes do Azure Site Recovery com o erro 10054 (uma conexão existente foi fechada à força pelo host remoto).
  • Os serviços relacionados ao Azure Site Recovery não serão interrompidos nem iniciados como de costume.

Recursos adicionais