Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób włączania protokołu Transport Layer Security (TLS) 1.2 dla usługi Azure Backup w celu zapewnienia bezpiecznej transmisji danych za pośrednictwem sieci. Protokół TLS 1.2 oferuje rozszerzoną ochronę w porównaniu z wcześniejszymi wersjami protokołu, pomagając chronić dane kopii zapasowej przed lukami w zabezpieczeniach i nieautoryzowanym dostępem.
Wcześniejsze wersje systemu Windows i wymagane aktualizacje
Jeśli na maszynie jest uruchomiona wcześniejsza wersja systemu Windows, należy zainstalować odpowiednie aktualizacje wymienione poniżej, a zmiany rejestru udokumentowane w artykułach BAZY wiedzy muszą być stosowane.
| System operacyjny | Artykuł z bazy wiedzy |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Note
Aktualizacja zainstaluje wymagane składniki protokołu. Po zakończeniu instalacji należy wprowadzić zmiany klucza rejestru wymienione w powyższych artykułach bazy wiedzy, aby prawidłowo włączyć wymagane protokoły.
Weryfikowanie ustawień rejestru systemu Windows dla protokołu TLS
Aby upewnić się, że protokół TLS 1.2 jest włączony na komputerze z systemem Windows, sprawdź, czy następujące ustawienia rejestru są poprawnie skonfigurowane.
Konfigurowanie protokołów SChannel
Następujące klucze rejestru zapewniają włączenie protokołu TLS 1.2 na poziomie składnika SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Note
Wyświetlane wartości są domyślnie ustawiane w systemie Windows Server 2012 R2 i nowszych wersjach. W przypadku tych wersji systemu Windows, jeśli klucze rejestru są nieobecne, nie trzeba ich tworzyć.
Konfigurowanie programu .NET Framework
Następujące klucze rejestru konfigurują program .NET Framework w celu obsługi silnej kryptografii. Więcej informacji na temat konfigurowania programu .NET Framework można znaleźć tutaj.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Zmiany certyfikatu TLS platformy Azure
Punkty końcowe TLS/SSL platformy Azure zawierają teraz zaktualizowane certyfikaty, które łączą się z nowymi głównymi urzędami certyfikacji. Upewnij się, że następujące zmiany obejmują zaktualizowane główne urzędy certyfikacji. Dowiedz się więcej o możliwym wpływie na aplikacje.
Wcześniej większość certyfikatów TLS używanych przez usługi Azure były połączone z następującym Głównym Urzędem Certyfikacji (CA):
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Teraz certyfikaty TLS, które są używane przez usługi platformy Azure, umożliwiają ustanowienie łańcucha zaufania prowadzącego do jednego z następujących głównych urzędów certyfikacji:
| Nazwa pospolita urzędu certyfikacji | Odcisk palca (SHA1) |
|---|---|
| Globalny katalog główny G2 firmy DigiCert | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Klasa 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Nadrzędny Urząd Certyfikacji Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Urząd Certyfikacji Główny Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Często zadawane pytania dotyczące protokołu TLS
Dlaczego warto włączyć protokół TLS 1.2?
Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Usługi Azure Backup już w pełni obsługują protokół TLS 1.2.
Co określa używany protokół szyfrowania?
Najwyższa wersja protokołu obsługiwana przez klienta i serwer jest negocjowana w celu ustanowienia zaszyfrowanej konwersacji. Aby uzyskać więcej informacji na temat protokołu uzgadniania TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.
Jaki jest wpływ na brak włączania protokołu TLS 1.2?
W przypadku ulepszonych zabezpieczeń przed atakami na starszą wersję protokołu usługa Azure Backup zaczyna wyłączać wersje protokołu TLS starsze niż 1.2 w sposób etapowy. Jest to część długoterminowej zmiany w ramach usług, aby uniemożliwić połączenia korzystające ze starszych protokołów i pakietów szyfrowania. Usługi i składniki usługi Azure Backup w pełni obsługują protokół TLS 1.2. Jednak wersje systemu Windows nie mają wymaganych aktualizacji lub niektórych dostosowanych konfiguracji nadal mogą uniemożliwić oferowanie protokołów TLS 1.2. Może to spowodować błędy, w tym co najmniej jeden z następujących elementów:
- Operacje tworzenia kopii zapasowych i przywracania mogą zakończyć się niepowodzeniem.
- Awarie połączeń komponentów kopii zapasowej z błędem 10054 (Istniejące połączenie zostało wymuszone przez hosta zdalnego).
- Usługi związane z usługą Azure Backup nie będą zatrzymywane ani uruchamiane jak zwykle.