Transport Layer Security no Azure Site Recovery
Transport Layer Security (TLS) é um protocolo de encriptação que mantém os dados seguros quando são transferidos através de uma rede. O Azure Site Recovery utiliza o TLS para proteger a privacidade dos dados que estão a ser transferidos. O Azure Site Recovery utiliza agora o protocolo TLS 1.2 para melhorar a segurança.
Ativar o TLS em versões mais antigas do Windows
Se o computador estiver a executar versões anteriores do Windows, certifique-se de que instala as atualizações correspondentes conforme detalhado abaixo e faça as alterações do registo conforme documentado nos respetivos artigos da BDC.
Sistema operativo | Artigo BDC |
---|---|
Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
A atualização instala os componentes necessários para o protocolo. Após a instalação, para ativar os protocolos necessários, certifique-se de que atualiza as chaves de registo, conforme mencionado nos artigos da BDC acima.
Verificar o registo do Windows
Configurar protocolos SChannel
As seguintes chaves de registo garantem que o protocolo TLS 1.2 está ativado ao nível do componente SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
Por predefinição, as chaves de registo acima são definidas nos valores apresentados no Windows Server 2012 R2 e versões posteriores. Para estas versões do Windows, se as chaves de registo estiverem ausentes, não é necessário criá-las.
Configurar .NET Framework
Utilize as seguintes chaves de registo para configurar .NET Framework que suportam criptografia forte. Saiba mais sobre como configurar .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Perguntas mais frequentes
Porquê ativar o TLS 1.2?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Azure Site Recovery suportam totalmente o TLS 1.2.
O que determina o protocolo de encriptação utilizado?
A versão de protocolo mais elevada suportada pelo cliente e pelo servidor é negociada para estabelecer a conversação encriptada. Para obter mais informações sobre o protocolo de handshake TLS, veja Establishing a Secure Session by using TLS (Estabelecer uma Sessão Segura com o TLS).
Qual é o impacto se o TLS 1.2 não estiver ativado?
Para melhorar a segurança dos ataques de mudança para uma versão anterior do protocolo, o Azure Site Recovery está a começar a desativar versões TLS anteriores à 1.2. Isto faz parte de uma mudança de longo prazo entre serviços para não permitir ligações de protocolo e conjunto de cifras legadas. Os serviços e componentes do Azure Site Recovery suportam totalmente o TLS 1.2. No entanto, as versões do Windows sem atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a disponibilização de protocolos TLS 1.2. Isto pode causar falhas, incluindo, mas não se limitando a uma ou mais das seguintes:
- A replicação pode falhar na origem.
- O Azure Site Recovery falhas de ligação de componentes com o erro 10054 (uma ligação existente foi forçada a fechar pelo anfitrião remoto).
- Os serviços relacionados com o Azure Site Recovery não param nem iniciam como habitualmente.