Dela via


Säkerhet på transportnivå i Azure Site Recovery

Transport Layer Security (TLS) är ett krypteringsprotokoll som skyddar data när de överförs via ett nätverk. Azure Site Recovery använder TLS för att skydda sekretessen för data som överförs. Azure Site Recovery använder nu TLS 1.2-protokollet för bättre säkerhet.

Aktivera TLS på äldre versioner av Windows

Om datorn kör tidigare versioner av Windows måste du installera motsvarande uppdateringar enligt beskrivningen nedan och göra registerändringarna enligt beskrivningen i respektive KB-artiklar.

Operativsystem KB-artikel
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Kommentar

Uppdateringen installerar nödvändiga komponenter för protokollet. Se till att uppdatera registernycklarna enligt ovanstående KB-artiklar för att aktivera de protokoll som krävs efter installationen.

Verifiera Windows-registret

Konfigurera SChannel-protokoll

Följande registernycklar ser till att TLS 1.2-protokollet är aktiverat på komponentnivån SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Kommentar

Som standard anges ovanstående registernycklar i värden som visas i Windows Server 2012 R2 och senare versioner. Om registernycklarna saknas för dessa versioner av Windows behöver du inte skapa dem.

Konfigurera .NET Framework

Använd följande registernycklar för att konfigurera .NET Framework som stöder stark kryptografi. Läs mer om hur du konfigurerar .NET Framework här.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Vanliga frågor och svar

Varför aktivera TLS 1.2?

TLS 1.2 är säkrare än tidigare kryptografiska protokoll som SSL 2.0, SSL 3.0, TLS 1.0 och TLS 1.1. Azure Site Recovery-tjänster har fullt stöd för TLS 1.2.

Vad avgör vilket krypteringsprotokoll som används?

Den högsta protokollversionen som stöds av både klienten och servern förhandlas för att upprätta den krypterade konversationen. Mer information om TLS-handskakningsprotokollet finns i Upprätta en säker session med hjälp av TLS.

Vad är effekten om TLS 1.2 inte är aktiverat?

För förbättrad säkerhet från protokollnedgraderingsattacker börjar Azure Site Recovery inaktivera TLS-versioner som är äldre än 1.2. Detta är en del av ett långsiktigt skifte mellan tjänster för att inte tillåta äldre protokoll- och chiffersvitanslutningar. Azure Site Recovery-tjänster och -komponenter har fullt stöd för TLS 1.2. Windows-versioner som saknar nödvändiga uppdateringar eller vissa anpassade konfigurationer kan dock fortfarande förhindra att TLS 1.2-protokoll erbjuds. Detta kan orsaka fel, inklusive men inte begränsat till ett eller flera av följande:

  • Replikeringen kan misslyckas vid källan.
  • Anslutningsfel för Azure Site Recovery-komponenter med fel 10054 (En befintlig anslutning stängdes av fjärrvärden med två två skäl).
  • Tjänster som är relaterade till Azure Site Recovery stoppar eller startar inte som vanligt.

Ytterligare resurser