Segurança da camada de transporte no Backup do Azure
O TLS é um protocolo de criptografia que protege os dados durante transferências em redes. O Backup do Azure usa o protocolo TLS para proteger a privacidade dos dados de backup durante transferências. Este artigo descreve como habilitar o protocolo TLS 1.2, que oferece maior segurança em relação às versões anteriores.
Versões anteriores do Windows
Em computadores que usam versões anteriores do Windows, é necessário instalar as atualizações correspondentes indicadas abaixo, bem como aplicar as alterações documentadas nos artigos KB no Registro.
| Sistema operacional | artigos da base de dados |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Observação
A atualização instala os componentes de protocolo necessários. Depois da instalação, você deve fazer as alterações indicadas nos artigos do KB nas chaves do Registro para habilitar os protocolos necessários.
Verificar o Registro do Windows
Configurar protocolos SChannel
As chaves de Registro abaixo habilitam o protocolo TLS 1.2 no nível de componentes SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Observação
Os valores mostrados são definidos por padrão no Windows Server 2012 R2 e em versões mais recentes. Nessas versões do Windows, não é necessário criar as chaves do Registro caso estejam ausentes.
Configurar o .NET Framework
As chaves do Registro abaixo configuram o .NET Framework para dar suporte para criptografia forte. Leia mais sobre a configuração do .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Alterações no certificado TLS do Azure
Os pontos de extremidade do TLS/SSL do Azure agora contêm o encadeamento de certificados atualizados até as novas ACs raiz. Verifique se as alterações a seguir incluem os CAs raiz atualizados. Saiba mais sobre os possíveis impactos em seus aplicativos.
Anteriormente, a maioria dos certificados TLS, usados pelos serviços do Azure, eram encadeados à seguinte AC raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Agora, os certificados TLS, usados pelos serviços do Azure, ajudam a encadear até uma das seguintes ACs raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Perguntas frequentes
Por que habilitar o TLS 1.2?
O TLS 1.2 é mais seguro que os protocolos de criptografia anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Backup do Azure já dão suporte completo para o TLS 1.2.
O que determina o protocolo de criptografia usado?
A versão do protocolo mais alta com suporte do cliente e do servidor é negociada para estabelecer a conversa criptografada. Veja mais informações sobre o protocolo de handshake do TLS em Estabelecer uma sessão segura usando TLS.
Qual é o impacto de não habilitar o TLS 1.2?
Para aumentar a segurança contra ataques de downgrade de protocolo, o Backup do Azure está começando a desabilitar as versões do TLS anteriores à 1.2 em fases. Isso faz parte de uma mudança de longo prazo entre serviços para não permitir conexões de protocolos e conjuntos de criptografia herdados. Os serviços e os componentes do Backup do Azure dão suporte total para o TLS 1.2. No entanto, as versões do Windows que não têm atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a oferta de protocolos TLS 1.2. Isso pode causar falhas, incluindo, entre outras:
- Falha das operações de backup e restauração.
- As conexões dos componentes de backup falham com o erro 10054 (uma conexão existente foi fechada à força pelo host remoto).
- Os serviços relacionados ao Backup do Azure não serão parados nem iniciados como de costume.