Protocolo TLS no Azure Site Recovery
O TLS é um protocolo de criptografia que protege os dados durante transferências em redes. O Azure Site Recovery usa o TLS para proteger a privacidade dos dados que estão sendo transferidos. O Azure Site Recovery agora usa o protocolo TLS 1.2 para aumentar a segurança.
Habilitar o TLS em versões mais antigas do Windows
Se o computador estiver executando versões anteriores do Windows, instale as atualizações correspondentes conforme detalhado abaixo e faça as alterações de Registro conforme documentado nos respectivos artigos de base de dados de conhecimento.
Sistema operacional | artigos da base de dados |
---|---|
Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Observação
A atualização instala os componentes necessários para o protocolo. Após a instalação, para habilitar os protocolos necessários, atualize as chaves do Registro, conforme mencionado nos artigos de base de dados de conhecimento acima.
Verificar o Registro do Windows
Configurar protocolos SChannel
As chaves de Registro abaixo habilitam o protocolo TLS 1.2 no nível de componentes SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Observação
Por padrão, as chaves do Registro acima são definidas nos valores mostrados no Windows Server 2012 R2 e em versões posteriores. Nessas versões do Windows, se as chaves do Registro estiverem ausentes, você não precisará criá-las.
Configurar o .NET Framework
Use as chaves do Registro a seguir para configurar o .NET Framework que dá suporte à criptografia forte. Leia mais sobre como configurar o .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
Observação
Se as chaves do Registro estiverem ausentes, você não precisará criá-las para o Windows Server 2012 R2 ou versões posteriores se o TLS 1.2 estiver habilitado em protocolos SChannel.
Perguntas frequentes
Por que habilitar o TLS 1.2?
O TLS 1.2 é mais seguro que os protocolos de criptografia anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Azure Site Recovery dão suporte completo ao TLS 1.2.
O que determina o protocolo de criptografia usado?
A versão do protocolo mais alta com suporte do cliente e do servidor é negociada para estabelecer a conversa criptografada. Veja mais informações sobre o protocolo de handshake do TLS em Estabelecer uma sessão segura usando TLS.
Qual será o impacto se o TLS 1.2 não estiver habilitado?
Para aumentar a segurança contra ataques de downgrade de protocolo, o Azure Site Recovery está começando a desabilitar as versões do TLS anteriores à 1.2. Isso faz parte de uma mudança de longo prazo entre serviços para não permitir conexões de protocolos e conjuntos de criptografia herdados. Os serviços e componentes do Azure Site Recovery dão suporte completo ao TLS 1.2. No entanto, as versões do Windows que não têm atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a oferta de protocolos TLS 1.2. Isso pode causar falhas, incluindo, entre outras:
- A replicação pode falhar na origem.
- Falhas de conexões de componentes do Azure Site Recovery com o erro 10054 (uma conexão existente foi fechada à força pelo host remoto).
- Os serviços relacionados ao Azure Site Recovery não serão interrompidos nem iniciados como de costume.