Использование протокола TLS в Azure Site Recovery
TLS — это протокол шифрования, который обеспечивает защиту данных при передаче по сети. Служба восстановления сайта Azure использует TLS для защиты конфиденциальности переносимой информации. Для улучшения безопасности служба восстановления сайтов Azure теперь использует протокол TLS 1.2.
Включение TLS в более старых версиях Windows
Если на компьютере работают более ранние версии Windows, установите соответствующие обновления, как описано ниже, и внесите изменения в реестр, как описано в соответствующих статьях базы знаний.
| Операционная система | Статья базы знаний |
|---|---|
| Windows Server 2008 с пакетом обновления 2 (SP2) | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Примечание.
Обновление установит необходимые компоненты для протокола. Чтобы включить необходимые протоколы после установки, обновите ключи реестра, как упоминалось выше в статьях базы знаний.
Проверка реестра Windows
Настройка протоколов SChannel
Следующие разделы реестра обеспечивают включение протокола TLS 1.2 на уровне компонентов SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Примечание.
По умолчанию вышеперечисленные ключи реестра имеют значения, показанные в Windows Server 2012 R2 и более поздних версиях. Для этих версий Windows не нужно создавать разделы реестра, если они отсутствуют.
Настройка .NET Framework
Следующие разделы реестра позволяют настроить .NET Framework для поддержки надежного шифрования. Дополнительные сведения о настройке .NET Framework приведены здесь.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
Примечание.
Если разделы реестра отсутствуют, их не нужно создавать для Windows Server 2012 R2 или более поздних версий, если протокол TLS 1.2 включен в протоколах SChannel.
Часто задаваемые вопросы
Зачем включать протокол TLS 1.2?
TLS 1.2 обеспечивает более эффективную защиту по сравнению с предыдущими протоколами шифрования, такими как SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1. Службы восстановления сайтов Azure полностью поддерживают TLS 1.2.
Что определяет используемый протокол шифрования?
Самая высокая версия протокола, поддерживаемая клиентом и сервером, согласовывается для реализации зашифрованного обмена данными. Дополнительные сведения о протоколе подтверждения TLS см. в разделе Установка защищенного сеанса с помощью TLS.
Что будет, если TLS 1.2 не включен?
Для улучшения защиты от атак, нацеленных на более раннюю версию протокола, Azure Site Recovery начинает отключать версии TLS, предшествующие 1.2. Это является частью долгосрочного процесса перехода в ряде служб, целью которого является запрет подключений на основе устаревших протоколов и наборов шифров. Службы и компоненты Azure Site Recovery полностью поддерживают TLS 1.2. Однако версии Windows, в которых отсутствуют необходимые обновления или определенные настраиваемые конфигурации, по-прежнему могут препятствовать использованию протоколов TLS 1.2. Это может привести к сбоям, например:
- При репликации может возникнуть сбой в источнике.
- Сбои соединения компонентов Azure Site Recovery с ошибкой 10054 (существующее соединение было принудительно закрыто удаленным узлом).
- Службы, связанные с Azure Site Recovery не будут останавливаться и запускаться, как обычно.