Azure Backup'da Aktarım Katmanı Güvenliği
Aktarım Katmanı Güvenliği (TLS), ağ üzerinden aktarılırken verilerin güvenliğini sağlayan bir şifreleme protokolüdür. Azure Backup, aktarılan yedekleme verilerinin gizliliğini korumak için aktarım katmanı güvenliğini kullanır. Bu makalede, önceki sürümlere göre gelişmiş güvenlik sağlayan TLS 1.2 protokolunu etkinleştirme adımları açıklanmaktadır.
Windows'un önceki sürümleri
Makine Windows'un önceki sürümlerini çalıştırıyorsa, aşağıda belirtilen ilgili güncelleştirmelerin yüklenmesi ve KB makalelerinde belgelenen kayıt defteri değişikliklerinin uygulanması gerekir.
| İşletim sistemi | KB makalesi |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Not
Güncelleştirme gerekli protokol bileşenlerini yükler. Yüklemeden sonra, gerekli protokolleri düzgün bir şekilde etkinleştirmek için yukarıdaki KB makalelerinde belirtilen kayıt defteri anahtarı değişikliklerini yapmanız gerekir.
Windows kayıt defterini doğrulama
SChannel protokollerini yapılandırma
Aşağıdaki kayıt defteri anahtarları TLS 1.2 protokolunun SChannel bileşen düzeyinde etkinleştirildiğinden emin olur:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Not
Gösterilen değerler, Windows Server 2012 R2 ve daha yeni sürümlerde varsayılan olarak ayarlanır. Windows'un bu sürümlerinde kayıt defteri anahtarları yoksa, bunların oluşturulması gerekmez.
.NET Framework yapılandırma
Aşağıdaki kayıt defteri anahtarları .NET Framework güçlü şifrelemeyi destekleyecek şekilde yapılandırmıştır. burada .NET Framework yapılandırma hakkında daha fazla bilgi edinebilirsiniz.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS sertifika değişiklikleri
Azure TLS/SSL uç noktaları artık yeni kök CA'lara zincirleme olarak güncelleştirilmiş sertifikalar içeriyor. Aşağıdaki değişikliklerin güncelleştirilmiş kök CA'ları içerdiğinden emin olun. Uygulamalarınız üzerindeki olası etkileri hakkında daha fazla bilgi edinin.
Daha önce, Azure hizmetleri tarafından kullanılan TLS sertifikalarının çoğu aşağıdaki Kök CA'ya zincirlenmişti:
| CA'nın ortak adı | Parmak İzi (SHA1) |
|---|---|
| Baltimore CyberTrust Kökü | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Artık Azure hizmetleri tarafından kullanılan TLS sertifikaları aşağıdaki Kök CA'lardan birine zincirleme yardımcı olur:
| CA'nın ortak adı | Parmak İzi (SHA1) |
|---|---|
| DigiCert Genel Kök G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Genel Kök CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Kökü | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Kök Sınıfı 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Kök Sertifika Yetkilisi 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Kök Sertifika Yetkilisi 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Sık sorulan sorular
TLS 1.2 neden etkinleştirildi?
TLS 1.2, SSL 2.0, SSL 3.0, TLS 1.0 ve TLS 1.1 gibi önceki şifreleme protokollerinden daha güvenlidir. Azure Backup hizmetleri zaten TLS 1.2'i tam olarak desteklemektedir.
Kullanılan şifreleme protokollerini belirleyen nedir?
Hem istemci hem de sunucu tarafından desteklenen en yüksek protokol sürümü, şifreli konuşmanın kurulması için anlaşmaya varılır. TLS el sıkışma protokolü hakkında daha fazla bilgi için bkz. TLS kullanarak Güvenli Oturum Oluşturma.
TLS 1.2'yi etkinleştirmeme işleminin etkisi nedir?
Protokol düşürme saldırılarından daha iyi güvenlik için, Azure Backup aşamalı olarak 1.2'den eski TLS sürümlerini devre dışı bırakmaya başlıyor. Bu, eski protokole ve şifre paketi bağlantılarına izin vermemeye yönelik hizmetler arasında uzun vadeli bir değişimin parçasıdır. Azure Backup hizmetleri ve bileşenleri TLS 1.2'i tam olarak destekler. Ancak, gerekli güncelleştirmelerin veya belirli özelleştirilmiş yapılandırmaların bulunmadığı Windows sürümleri, TLS 1.2 protokollerinin sunulmasını yine de engelleyebilir. Bu, aşağıdakilerden biri veya daha fazlası dahil ancak bunlarla sınırlı olmamak üzere hatalara neden olabilir:
- Yedekleme ve geri yükleme işlemleri başarısız olabilir.
- Yedekleme bileşenleri 10054 hatasıyla bağlantı hataları (Var olan bir bağlantı uzak konak tarafından zorla kapatıldı).
- Azure Backup ile ilgili hizmetler her zamanki gibi durmaz veya başlatılmaz.
Ek kaynaklar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin