Delen via


Transport Layer Security in Azure Site Recovery

Transport Layer Security (TLS) is een versleutelingsprotocol dat gegevens veilig houdt wanneer ze via een netwerk worden overgedragen. Azure Site Recovery maakt gebruik van TLS om de privacy te beschermen van gegevens die worden overgedragen. Azure Site Recovery maakt nu gebruik van het TLS 1.2-protocol voor verbeterde beveiliging.

TLS inschakelen in oudere versies van Windows

Als op de computer eerdere versies van Windows worden uitgevoerd, moet u ervoor zorgen dat u de bijbehorende updates installeert, zoals hieronder wordt beschreven en breng de registerwijzigingen aan, zoals beschreven in de desbetreffende KB-artikelen.

Besturingssysteem KB-artikel
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Notitie

De update installeert de vereiste onderdelen voor het protocol. Na de installatie moet u ervoor zorgen dat u de registersleutels bijwerkt zoals vermeld in de bovenstaande KB-artikelen.

Windows-register controleren

SChannel-protocollen configureren

De volgende registersleutels zorgen ervoor dat het TLS 1.2-protocol is ingeschakeld op het onderdeelniveau SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Notitie

Standaard worden de bovenstaande registersleutels ingesteld in waarden die worden weergegeven in Windows Server 2012 R2 en latere versies. Als voor deze versies van Windows de registersleutels ontbreken, hoeft u deze niet te maken.

.NET Framework configureren

Gebruik de volgende registersleutels om .NET Framework te configureren die sterke cryptografie ondersteunt. Meer informatie over het configureren van .NET Framework vindt u hier.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001

Notitie

Als de registersleutels ontbreken, hoeft u deze niet te maken voor Windows Server 2012 R2 of nieuwere versies als TLS 1.2 is ingeschakeld in SChannel-protocollen.

Veelgestelde vragen

Waarom TLS 1.2 inschakelen?

TLS 1.2 is veiliger dan eerdere cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. Azure Site Recovery-services bieden volledige ondersteuning voor TLS 1.2.

Wat bepaalt het gebruikte versleutelingsprotocol?

De hoogste protocolversie die wordt ondersteund door zowel de client als de server, wordt onderhandeld om het versleutelde gesprek tot stand te brengen. Zie Een beveiligde sessie maken met behulp van TLS voor meer informatie over het TLS-handshake-protocol.

Wat is de impact als TLS 1.2 niet is ingeschakeld?

Azure Site Recovery begint tls-versies die ouder zijn dan 1.2 uit te schakelen voor verbeterde beveiliging tegen protocol downgradeaanvallen. Dit maakt deel uit van een langdurige verschuiving tussen services om verouderde protocol- en coderingssuiteverbindingen niet toe te laten. Azure Site Recovery-services en -onderdelen ondersteunen TLS 1.2 volledig. Windows-versies zonder vereiste updates of bepaalde aangepaste configuraties kunnen echter nog steeds voorkomen dat TLS 1.2-protocollen worden aangeboden. Dit kan fouten veroorzaken, waaronder maar niet beperkt tot een of meer van de volgende:

  • Replicatie kan mislukken bij de bron.
  • Verbindingen met Azure Site Recovery-onderdelen met fout 10054 (een bestaande verbinding is geforceerd gesloten door de externe host).
  • Services met betrekking tot Azure Site Recovery stoppen of starten niet zoals gebruikelijk.

Aanvullende bronnen