Säkerhet på transportnivå i Azure Site Recovery
Transport Layer Security (TLS) är ett krypteringsprotokoll som skyddar data när de överförs via ett nätverk. Azure Site Recovery använder TLS för att skydda sekretessen för data som överförs. Azure Site Recovery använder nu TLS 1.2-protokollet för bättre säkerhet.
Aktivera TLS på äldre versioner av Windows
Om datorn kör tidigare versioner av Windows måste du installera motsvarande uppdateringar enligt beskrivningen nedan och göra registerändringarna enligt beskrivningen i respektive KB-artiklar.
| Operativsystem | KB-artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Kommentar
Uppdateringen installerar nödvändiga komponenter för protokollet. Se till att uppdatera registernycklarna enligt ovanstående KB-artiklar för att aktivera de protokoll som krävs efter installationen.
Verifiera Windows-registret
Konfigurera SChannel-protokoll
Följande registernycklar ser till att TLS 1.2-protokollet är aktiverat på komponentnivån SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Kommentar
Som standard anges ovanstående registernycklar i värden som visas i Windows Server 2012 R2 och senare versioner. Om registernycklarna saknas för dessa versioner av Windows behöver du inte skapa dem.
Konfigurera .NET Framework
Använd följande registernycklar för att konfigurera .NET Framework som stöder stark kryptografi. Läs mer om hur du konfigurerar .NET Framework här.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Vanliga frågor och svar
Varför aktivera TLS 1.2?
TLS 1.2 är säkrare än tidigare kryptografiska protokoll som SSL 2.0, SSL 3.0, TLS 1.0 och TLS 1.1. Azure Site Recovery-tjänster har fullt stöd för TLS 1.2.
Vad avgör vilket krypteringsprotokoll som används?
Den högsta protokollversionen som stöds av både klienten och servern förhandlas för att upprätta den krypterade konversationen. Mer information om TLS-handskakningsprotokollet finns i Upprätta en säker session med hjälp av TLS.
Vad är effekten om TLS 1.2 inte är aktiverat?
För förbättrad säkerhet från protokollnedgraderingsattacker börjar Azure Site Recovery inaktivera TLS-versioner som är äldre än 1.2. Detta är en del av ett långsiktigt skifte mellan tjänster för att inte tillåta äldre protokoll- och chiffersvitanslutningar. Azure Site Recovery-tjänster och -komponenter har fullt stöd för TLS 1.2. Windows-versioner som saknar nödvändiga uppdateringar eller vissa anpassade konfigurationer kan dock fortfarande förhindra att TLS 1.2-protokoll erbjuds. Detta kan orsaka fel, inklusive men inte begränsat till ett eller flera av följande:
- Replikeringen kan misslyckas vid källan.
- Anslutningsfel för Azure Site Recovery-komponenter med fel 10054 (En befintlig anslutning stängdes av fjärrvärden med två två skäl).
- Tjänster som är relaterade till Azure Site Recovery stoppar eller startar inte som vanligt.