Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como habilitar o Transport Layer Security (TLS) 1.2 para Backup do Azure para garantir a transmissão segura de dados por redes. O TLS 1.2 oferece proteção aprimorada em comparação com versões anteriores do protocolo, ajudando a proteger os dados de backup contra vulnerabilidades e acesso não autorizado.
Versões anteriores do Windows e atualizações necessárias
Se a máquina estiver executando versões anteriores do Windows, as atualizações correspondentes observadas abaixo devem ser instaladas e as alterações do Registro documentadas nos artigos da Base de Dados de Conhecimento devem ser aplicadas.
| Sistema operativo | Artigo KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
A atualização instalará os componentes de protocolo necessários. Após a instalação, você deve fazer as alterações de chave do Registro mencionadas nos artigos da Base de Dados de Conhecimento acima para habilitar corretamente os protocolos necessários.
Verificar as configurações do Registro do Windows para TLS
Para garantir que o TLS 1.2 esteja habilitado em sua máquina Windows, verifique se as seguintes configurações do Registro estão configuradas corretamente.
Configurar protocolos SChannel
As seguintes chaves do Registro garantem que o protocolo TLS 1.2 esteja habilitado no nível do componente SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
Os valores mostrados são definidos por padrão no Windows Server 2012 R2 e versões mais recentes. Para essas versões do Windows, se as chaves do Registro estiverem ausentes, elas não precisam ser criadas.
Configurar o .NET Framework
As seguintes chaves do Registro configuram o .NET Framework para oferecer suporte a criptografia forte. Você pode ler mais sobre como configurar o .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Alterações no certificado TLS do Azure
Os pontos de extremidade TLS/SSL do Azure agora contêm certificados atualizados encadeados até novas autoridades de certificação raiz. Certifique-se de que as alterações a seguir incluam as autoridades de certificação raiz atualizadas. Saiba mais sobre os possíveis impactos em seus aplicativos.
Anteriormente, a maioria dos certificados TLS, usados pelos serviços do Azure, eram encadeados para a seguinte CA raiz:
| Nome comum da Califórnia | Impressão digital (SHA1) |
|---|---|
| Baltimore CyberTrust Raiz | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Agora, os certificados TLS, usados pelos serviços do Azure, ajudam a encadear até uma das seguintes CAs raiz:
| Nome comum da Califórnia | Impressão digital (SHA1) |
|---|---|
| DigiCert Raiz Global G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| AC raiz global do DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Raiz | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Raiz Classe 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Autoridade de certificação raiz Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Autoridade de certificação raiz Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Perguntas frequentes sobre TLS
Por que ativar o TLS 1.2?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços de Backup do Azure já oferecem suporte total ao TLS 1.2.
O que determina o protocolo de encriptação utilizado?
A versão de protocolo mais alta suportada pelo cliente e pelo servidor é negociada para estabelecer a conversa criptografada. Para obter mais informações sobre o protocolo de handshake TLS, consulte Estabelecendo uma sessão segura usando TLS.
Qual é o impacto de não ativar o TLS 1.2?
Para melhorar a segurança contra ataques de downgrade de protocolo, o Backup do Azure está começando a desabilitar versões TLS anteriores à 1.2 de forma faseada. Isso faz parte de uma mudança de longo prazo nos serviços para deixar de permitir conexões de protocolo legado e conjunto de cifras. Os serviços e componentes do Backup do Azure oferecem suporte total ao TLS 1.2. No entanto, as versões do Windows sem atualizações necessárias ou certas configurações personalizadas ainda podem impedir que os protocolos TLS 1.2 sejam oferecidos. Isso pode causar falhas, incluindo, mas não limitado a, um ou mais dos seguintes:
- As operações de backup e restauração podem falhar.
- Falhas nas ligações dos componentes de backup com o erro 10054 (Uma conexão existente foi fechada à força pelo host remoto).
- Os serviços relacionados ao Backup do Azure não param ou iniciam como de costume.