Zabezpečení přenosové vrstvy ve službě Azure Backup
Tls (Transport Layer Security) je šifrovací protokol, který zajišťuje zabezpečení dat při přenosu přes síť. Azure Backup používá zabezpečení přenosové vrstvy k ochraně osobních údajů přenášených zálohovaných dat. Tento článek popisuje postup povolení protokolu TLS 1.2, který poskytuje lepší zabezpečení oproti předchozím verzím.
Starší verze Windows
Pokud počítač používá starší verze Windows, musí být nainstalovány odpovídající níže uvedené aktualizace a musí být použity změny registru popsané v článcích znalostní báze.
| Operační systém | Článek znalostní báze Knowledge Base |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Poznámka:
Aktualizace nainstaluje požadované součásti protokolu. Po instalaci je nutné provést změny klíče registru uvedené v článcích znalostní báze výše, aby se správně povolily požadované protokoly.
Ověření registru Systému Windows
Konfigurace protokolů SChannel
Následující klíče registru zajišťují, že protokol TLS 1.2 je povolený na úrovni komponenty SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Poznámka:
Zobrazené hodnoty jsou ve výchozím nastavení nastavené ve Windows Serveru 2012 R2 a novějších verzích. Pokud v těchto verzích Windows chybí klíče registru, není nutné je vytvářet.
Konfigurace rozhraní .NET Framework
Následující klíče registru nakonfigurují rozhraní .NET Framework tak, aby podporovaly silnou kryptografii. Další informace o konfiguraci rozhraní .NET Framework najdete tady.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Změny certifikátu Azure TLS
Koncové body Azure TLS/SSL teď obsahují aktualizované řetězení certifikátů až do nových kořenových certifikačních autorit. Ujistěte se, že následující změny zahrnují aktualizované kořenové certifikační autority. Přečtěte si další informace o možných dopadech na vaše aplikace.
Většina certifikátů TLS používaných službami Azure se dříve zřetězených s následující kořenovou certifikační autoritou:
| Běžný název certifikační autority | Kryptografický otisk (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Certifikáty TLS používané službami Azure teď pomáhají zřetězeným až k jednomu z následujících kořenových certifikačních autorit:
| Běžný název certifikační autority | Kryptografický otisk (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Globální kořenová certifikační autorita DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| Kořenová třída D-TRUST 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Nejčastější dotazy
Proč povolit protokol TLS 1.2?
Protokol TLS 1.2 je bezpečnější než předchozí kryptografické protokoly, jako jsou SSL 2.0, SSL 3.0, TLS 1.0 a TLS 1.1. Služby Azure Backup již plně podporují protokol TLS 1.2.
Co určuje použitý šifrovací protokol?
Za účelem vytvoření šifrované konverzace se vyjednává nejvyšší verze protokolu podporovaná klientem i serverem. Další informace o protokolu handshake protokolu TLS naleznete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.
Jaký je dopad nepovolování protokolu TLS 1.2?
Pro lepší zabezpečení útoků downgrade protokolu začíná Služba Azure Backup postupně zakazovat verze TLS starší než 1.2. Toto je součástí dlouhodobého posunu mezi službami, aby se nepovolily připojení starších protokolů a šifrovacích sad. Služby Azure Backup a komponenty plně podporují protokol TLS 1.2. Verze Windows, které nemají požadované aktualizace nebo určité přizpůsobené konfigurace, ale můžou dál bránit nabízení protokolů TLS 1.2. To může způsobit selhání, včetně jednoho nebo několika následujících:
- Operace zálohování a obnovení můžou selhat.
- Selhání připojení komponent zálohování s chybou 10054 (vzdálený hostitel vynutil ukončení existujícího připojení).
- Služby související se službou Azure Backup se nezastaví ani nespustí obvyklým způsobem.