Säkerhet på transportnivå i Azure Backup
Transport Layer Security (TLS) är ett krypteringsprotokoll som skyddar data när de överförs via ett nätverk. Azure Backup använder säkerhet på transportnivå för att skydda sekretessen för säkerhetskopierade data som överförs. I den här artikeln beskrivs steg för att aktivera TLS 1.2-protokollet, vilket ger bättre säkerhet jämfört med tidigare versioner.
Tidigare versioner av Windows
Om datorn kör tidigare versioner av Windows måste motsvarande uppdateringar som anges nedan installeras och registerändringarna som dokumenteras i KB-artiklarna måste tillämpas.
| Operativsystem | KB-artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Kommentar
Uppdateringen installerar de protokollkomponenter som krävs. Efter installationen måste du göra ändringar i registernyckeln som nämns i KB-artiklarna ovan för att aktivera de protokoll som krävs korrekt.
Verifiera Windows-registret
Konfigurera SChannel-protokoll
Följande registernycklar ser till att TLS 1.2-protokollet är aktiverat på komponentnivån SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Kommentar
Värdena som visas anges som standard i Windows Server 2012 R2 och senare versioner. Om registernycklarna saknas för dessa versioner av Windows behöver de inte skapas.
Konfigurera .NET Framework
Följande registernycklar konfigurerar .NET Framework för att stödja stark kryptografi. Du kan läsa mer om hur du konfigurerar .NET Framework här.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Ändringar i Azure TLS-certifikat
Azure TLS/SSL-slutpunkter innehåller nu uppdaterade certifikat som kedjar ihop till nya rotcertifikatutfärdare. Se till att följande ändringar innehåller de uppdaterade rotcertifikatutfärdarna. Läs mer om möjliga effekter på dina program.
Tidigare var de flesta TLS-certifikaten, som används av Azure-tjänster, länkade till följande rotcertifikatutfärdare:
| Eget namn på CA | Tumavtryck (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Nu hjälper TLS-certifikat som används av Azure-tjänster till att kedja upp till någon av följande rotcertifikatutfärdare:
| Eget namn på CA | Tumavtryck (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert global rotcertifikatutfärdare | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Rotklass 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Vanliga frågor och svar
Varför aktivera TLS 1.2?
TLS 1.2 är säkrare än tidigare kryptografiska protokoll som SSL 2.0, SSL 3.0, TLS 1.0 och TLS 1.1. Azure Backup-tjänster har redan fullt stöd för TLS 1.2.
Vad avgör vilket krypteringsprotokoll som används?
Den högsta protokollversionen som stöds av både klienten och servern förhandlas för att upprätta den krypterade konversationen. Mer information om TLS-handskakningsprotokollet finns i Upprätta en säker session med hjälp av TLS.
Vad är effekten av att inte aktivera TLS 1.2?
För förbättrad säkerhet från protokollnedgraderingsattacker börjar Azure Backup inaktivera TLS-versioner som är äldre än 1.2 stegvis. Detta är en del av ett långsiktigt skifte mellan tjänster för att inte tillåta äldre protokoll- och chiffersvitanslutningar. Azure Backup-tjänster och -komponenter har fullt stöd för TLS 1.2. Windows-versioner som saknar nödvändiga uppdateringar eller vissa anpassade konfigurationer kan dock fortfarande förhindra att TLS 1.2-protokoll erbjuds. Detta kan orsaka fel, inklusive men inte begränsat till ett eller flera av följande:
- Säkerhetskopierings- och återställningsåtgärder kan misslyckas.
- Säkerhetskopieringskomponenterna ansluter fel med fel 10054 (En befintlig anslutning stängdes av fjärrvärden med två två skäl).
- Tjänster som är relaterade till Azure Backup stoppas inte eller startas inte som vanligt.