Transport Layer Security w usłudze Azure Site Recovery
Transport Layer Security (TLS) to protokół szyfrowania, który zapewnia bezpieczeństwo danych podczas przesyłania za pośrednictwem sieci. Usługa Azure Site Recovery używa protokołu TLS do ochrony prywatności przesyłanych danych. Usługa Azure Site Recovery używa teraz protokołu TLS 1.2 w celu zwiększenia bezpieczeństwa.
Włączanie protokołu TLS w starszych wersjach systemu Windows
Jeśli maszyna jest uruchomiona we wcześniejszych wersjach systemu Windows, upewnij się, że zainstaluj odpowiednie aktualizacje zgodnie z poniższym opisem i wprowadź zmiany rejestru zgodnie z opisem w odpowiednich artykułach bazy wiedzy.
| System operacyjny | Artykuł z bazy wiedzy |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Uwaga
Aktualizacja instaluje wymagane składniki protokołu. Po zakończeniu instalacji, aby włączyć wymagane protokoły, należy zaktualizować klucze rejestru, jak wspomniano w powyższych artykułach KB.
Weryfikowanie rejestru systemu Windows
Konfigurowanie protokołów SChannel
Następujące klucze rejestru zapewniają włączenie protokołu TLS 1.2 na poziomie składnika SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Uwaga
Domyślnie powyższe klucze rejestru są ustawiane w pokazanych wartościach są ustawione w systemie Windows Server 2012 R2 i nowszych wersjach. W przypadku tych wersji systemu Windows, jeśli klucze rejestru są nieobecne, nie trzeba ich tworzyć.
Konfigurowanie programu .NET Framework
Użyj następujących kluczy rejestru, aby skonfigurować program .NET Framework, który obsługuje silną kryptografię. Dowiedz się więcej na temat konfigurowania programu .NET Framework tutaj.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
Uwaga
Jeśli klucze rejestru są nieobecne, nie musisz ich tworzyć dla systemu Windows Server 2012 R2 lub nowszych wersji, jeśli protokół TLS 1.2 jest włączony w protokołach SChannel.
Często zadawane pytania
Dlaczego warto włączyć protokół TLS 1.2?
Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Usługi Azure Site Recovery w pełni obsługują protokół TLS 1.2.
Co określa używany protokół szyfrowania?
Najwyższa wersja protokołu obsługiwana przez klienta i serwer jest negocjowana w celu ustanowienia zaszyfrowanej konwersacji. Aby uzyskać więcej informacji na temat protokołu uzgadniania TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.
Jaki jest wpływ, jeśli protokół TLS 1.2 nie jest włączony?
W przypadku ulepszonych zabezpieczeń przed atakami na starszą wersję protokołu usługa Azure Site Recovery zaczyna wyłączać wersje protokołu TLS starsze niż 1.2. Jest to część długoterminowej zmiany między usługami, aby uniemożliwić starsze połączenia protokołu i pakietu szyfrowania. Usługi Azure Site Recovery i składniki w pełni obsługują protokół TLS 1.2. Jednak wersje systemu Windows nie mają wymaganych aktualizacji lub niektórych dostosowanych konfiguracji nadal mogą uniemożliwić oferowanie protokołów TLS 1.2. Może to spowodować błędy, w tym co najmniej jeden z następujących elementów:
- Replikacja może zakończyć się niepowodzeniem w źródle.
- Błędy połączeń składników usługi Azure Site Recovery z błędem 10054 (istniejące połączenie zostało wymuszone przez hosta zdalnego).
- Usługi związane z usługą Azure Site Recovery nie będą zatrzymywane ani uruchamiane jak zwykle.