Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как включить протокол TLS 1.2 для Azure Backup, чтобы обеспечить безопасную передачу данных по сетям. TLS 1.2 обеспечивает расширенную защиту по сравнению с более ранними версиями протокола, помогая защитить данные резервного копирования от уязвимостей и несанкционированного доступа.
Более ранние версии Windows и необходимые обновления
Если компьютер работает под управлением более ранних версий Windows, необходимо установить соответствующие обновления, указанные ниже, и изменения реестра, описанные в статьях базы знаний, должны быть применены.
| Операционная система | статья KB базы знаний |
|---|---|
| Windows Server 2008 с пакетом обновления 2 (SP2) | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Note
Обновление установит необходимые компоненты протокола. После установки необходимо внести изменения в ключи реестра, упомянутые в приведенных выше статьях базы знаний, чтобы правильно включить необходимые протоколы.
Проверка параметров реестра Windows для TLS
Чтобы убедиться, что tls 1.2 включен на компьютере Windows, убедитесь, что следующие параметры реестра настроены правильно.
Настройка протоколов SChannel
Следующие ключи реестра гарантируют, что протокол TLS 1.2 включен на уровне компонента SChannel.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Note
Отображаемые значения задаются по умолчанию в Windows Server 2012 R2 и более новых версиях. Для этих версий Windows, если ключи реестра отсутствуют, их не нужно создавать.
Настройка .NET Framework
Следующие ключи реестра настраивают .NET Framework для поддержки строгой криптографии. Дополнительные сведения о настройке .NET Framework см. здесь.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Изменения сертификата TLS Azure
Теперь конечные точки TLS/SSL содержат обновленные сертификаты, связанные с новыми корневыми центрами сертификации. Убедитесь, что следующие изменения включают обновленные корневые удостоверяющие центры (ЦС). Узнайте больше о возможных последствиях для приложений.
Ранее большинство сертификатов TLS, используемых службами Azure, привязаны к следующему корневому ЦС:
| Общее имя Удостоверяющего центра | Отпечаток (SHA1) |
|---|---|
| Балтимор CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Теперь сертификаты TLS, используемые службами Azure, помогают устанавливать цепочку к одному из следующих корневых ЦС.
| Общее имя Удостоверяющего центра | Отпечаток (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Глобальный корневой УЦ | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Балтимор CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| Корневой класс D-TRUST 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Корневой центр сертификации Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Корневой центр сертификации Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Часто задаваемые вопросы о TLS
Почему включить TLS 1.2?
TLS 1.2 является более безопасным, чем предыдущие протоколы шифрования, такие как SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1. Службы Azure Backup уже полностью поддерживают TLS 1.2.
Что определяет используемый протокол шифрования?
Наивысшая версия протокола, поддерживаемая клиентом и сервером, оговаривается для установления зашифрованного общения. Дополнительные сведения о протоколе подтверждения TLS см. в разделе "Установка безопасного сеанса с помощью TLS".
Каково влияние не включения TLS 1.2?
Для повышения безопасности от атак с понижением уровня протокола Azure Backup начинает отключать версии TLS старше 1.2 поэтапно. Это часть долгосрочного изменения в рамках служб, чтобы запретить подключения через устаревшие протоколы и наборы шифров. Службы и компоненты Azure Backup полностью поддерживают TLS 1.2. Однако версии Windows не имеют необходимых обновлений или определенных настраиваемых конфигураций могут по-прежнему препятствовать предлагаемым протоколам TLS 1.2. Это может привести к сбоям, включая, помимо прочего, одно или несколько из следующих:
- Операции резервного копирования и восстановления могут завершиться ошибкой.
- Сбои подключений компонентов резервного копирования с ошибкой 10054 (существующее соединение было принудительно закрыто удаленным узлом).
- Службы, связанные с Azure Backup, не будут останавливаться или запускаться как обычно.