分享方式:


Azure Site Recovery 中的傳輸層安全性

傳輸層安全性 (TLS) 是一種加密通訊協定,可在透過網路傳輸時保護資料安全。 Azure Site Recovery 使用 TLS 來保護傳輸中資料的隱私權。 Azure Site Recovery 現在使用 TLS 1.2 通訊協定,以提升安全性。

在較舊版本的 Windows 上啟用 TLS

如果電腦執行的是舊版 Windows,請務必如下所述安裝對應的更新,並且如個別知識庫文章所述進行登錄變更。

作業系統 知識庫文章
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2、Windows 7、Windows Server 2012 https://support.microsoft.com/help/3140245

注意

此更新會安裝通訊協定所需的元件。 安裝之後,若要啟用必要的通訊協定,請務必更新登錄機碼,如上方知識庫文章所述。

確認 Windows 登錄

設定 SChannel 通訊協定

下列登錄機碼可確保在 SChannel 元件層級啟用 TLS 1.2 通訊協定:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

注意

根據預設,上述登錄機碼會以 Windows Server 2012 R2 和更新版本中所顯示的值進行設定。 針對這些版本的 Windows,如果登錄機碼不存在,則不需要建立。

設定 .NET Framework

使用下列登錄機碼來設定可支援強式加密的 .NET Framework。 在這裡深入了解設定 .NET Framework

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001

注意

如果登錄機碼不存在,在 SChannel 通訊協定中啟用 TLS 1.2 時,您就不需要為 Windows Server 2012 R2 或更新版本建立登錄機碼。

常見問題集

為什麼要啟用 TLS 1.2?

TLS 1.2 比先前的密碼編譯通訊協定更安全,例如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1。 Azure Site Recovery 服務完全支援 TLS 1.2。

什麼項目決定所使用的加密通訊協定?

用戶端和伺服器所支援的最高通訊協定版本會進行交涉,以建立加密的交談。 如需 TLS 交握通訊協定的詳細資訊,請參閱使用 TLS 建立安全工作階段

如果未啟用 TLS 1.2,會造成什麼影響?

為了改善針對通訊協定降級攻擊的安全性,Azure Site Recovery 開始停用 1.2 以前的 TLS 版本。 這是跨服務長期轉移的一部分,不允許舊版通訊協定和加密套件連線。 Azure Site Recovery 服務和元件完全支援 TLS 1.2。 不過,缺少必要更新或某些自訂設定的 Windows 版本,仍然會防止提供 TLS 1.2 通訊協定。 這會造成失敗,包括但不限於下列一或多項:

  • 來源端的複寫可能會失敗。
  • Azure Site Recovery 元件連線失敗,並出現錯誤 10054 (遠端主機已強制關閉現有的連線)。
  • 與 Azure Site Recovery 相關的服務不會如往常般停止或啟動。

其他資源