Использование протокола TLS в Azure Backup
TLS — это протокол шифрования, который обеспечивает защиту данных при передаче по сети. Azure Backup использует протокол TLS для защиты конфиденциальности передаваемых данных резервных копий. В этой статье описаны действия по включению протокола TLS 1.2, обеспечивающего улучшенную защиту по сравнению с предыдущими версиями.
Предшествующие версии Windows
Если на компьютере установлены более ранние версии Windows, необходимо установить соответствующие обновления, описанные в статьях базы знаний, и внести изменения в реестр.
| Операционная система | статья базы знаний |
|---|---|
| Windows Server 2008 с пакетом обновления 2 (SP2) | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Примечание
При обновлении будут установлены необходимые компоненты протокола. После установки необходимо внести в раздел реестра изменения, упомянутые в статьях базы знаний выше, чтобы правильно включить необходимые протоколы.
Проверка реестра Windows
Настройка протоколов SChannel
Следующие разделы реестра обеспечивают включение протокола TLS 1.2 на уровне компонентов SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Примечание
Показанные значения заданы по умолчанию в Windows Server 2012 R2 и более поздних версиях. Для этих версий Windows не нужно создавать разделы реестра, если они отсутствуют.
Настройка .NET Framework
Следующие разделы реестра позволяют настроить .NET Framework для поддержки надежного шифрования. Дополнительные сведения о настройке .NET Framework приведены здесь.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Изменения TLS-сертификатов Azure
Конечные точки AZURE TLS/SSL теперь содержат обновленные сертификаты, связанные с новыми корневыми ЦС. Убедитесь, что следующие изменения включают обновленные корневые ЦС. Узнайте больше о возможных последствиях для приложений.
Ранее большинство сертификатов TLS, используемых службами Azure, были связаны со следующим корневым ЦС:
| Общее имя ЦС | Отпечаток (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Теперь сертификаты TLS, используемые службами Azure, помогают связать их с одним из следующих корневых ЦС:
| Общее имя ЦС | Отпечаток (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Глобальный корневой ЦС DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Часто задаваемые вопросы
Зачем включать протокол TLS 1.2?
TLS 1.2 обеспечивает более эффективную защиту по сравнению с предыдущими протоколами шифрования, такими как SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1. Службы Azure Backup уже полностью поддерживают TLS 1.2.
Что определяет используемый протокол шифрования?
Самая высокая версия протокола, поддерживаемая клиентом и сервером, согласовывается для реализации зашифрованного обмена данными. Дополнительные сведения о протоколе подтверждения TLS см. в разделе Установка защищенного сеанса с помощью TLS.
Что будет, если не включить TLS 1.2?
Для улучшения защиты от атак, нацеленных на более раннюю версию протокола, Azure Backup начинает поэтапно отключать версии TLS, предшествующие 1.2. Это является частью долгосрочного процесса перехода в ряде служб, целью которого является запрет подключений на основе устаревших протоколов и наборов шифров. Службы и компоненты Azure Backup полностью поддерживают TLS 1.2. Однако версии Windows, в которых отсутствуют необходимые обновления или определенные настраиваемые конфигурации, по-прежнему могут препятствовать использованию протоколов TLS 1.2. Это может привести к сбоям, например:
- ошибкам при выполнении операций резервного копирования и восстановления;
- Сбои подключений компонентов резервного копирования с ошибкой 10054 (существующее подключение было принудительно закрыто удаленным узлом).
- ошибкам при остановке или запуске служб, связанных с Azure Backup.