Transport Layer Security in Azure Site Recovery
Tls (Transport Layer Security) is een versleutelingsprotocol dat gegevens veilig houdt wanneer ze via een netwerk worden overgedragen. Azure Site Recovery maakt gebruik van TLS om de privacy te beschermen van gegevens die worden overgedragen. Azure Site Recovery maakt nu gebruik van het TLS 1.2-protocol voor verbeterde beveiliging.
TLS inschakelen in oudere versies van Windows
Als op de computer eerdere versies van Windows worden uitgevoerd, moet u ervoor zorgen dat u de bijbehorende updates installeert zoals hieronder wordt beschreven en de registerwijzigingen aanbrengen zoals beschreven in de betreffende KB-artikelen.
| Besturingssysteem | KB-artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Notitie
De update installeert de vereiste onderdelen voor het protocol. Als u na de installatie de vereiste protocollen wilt inschakelen, moet u ervoor zorgen dat u de registersleutels bijwerkt zoals vermeld in de bovenstaande KB-artikelen.
Windows-register controleren
SChannel-protocollen configureren
De volgende registersleutels zorgen ervoor dat het TLS 1.2-protocol is ingeschakeld op het onderdeelniveau SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Notitie
De bovenstaande registersleutels worden standaard ingesteld in waarden die worden weergegeven in Windows Server 2012 R2 en latere versies. Als de registersleutels voor deze versies van Windows ontbreken, hoeft u deze niet te maken.
.NET Framework configureren
Gebruik de volgende registersleutels om .NET Framework te configureren die ondersteuning biedt voor sterke cryptografie. Meer informatie over het configureren van .NET Framework vindt u hier.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Veelgestelde vragen
Waarom TLS 1.2 inschakelen?
TLS 1.2 is veiliger dan eerdere cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. Azure Site Recovery-services bieden volledige ondersteuning voor TLS 1.2.
Wat bepaalt het gebruikte versleutelingsprotocol?
Er wordt onderhandeld over de hoogste protocolversie die wordt ondersteund door zowel de client als de server om het versleutelde gesprek tot stand te brengen. Zie Een beveiligde sessie tot stand brengen met behulp van TLS voor meer informatie over het TLS-handshakeprotocol.
Wat is de impact als TLS 1.2 niet is ingeschakeld?
Voor verbeterde beveiliging tegen protocoldowngradeaanvallen begint Azure Site Recovery TLS-versies ouder dan 1.2 uit te schakelen. Dit maakt deel uit van een langetermijnverschuiving tussen services om verouderde protocol- en coderingssuiteverbindingen niet toe te laten. Azure Site Recovery-services en -onderdelen bieden volledige ondersteuning voor TLS 1.2. Windows-versies zonder vereiste updates of bepaalde aangepaste configuraties kunnen echter nog steeds voorkomen dat TLS 1.2-protocollen worden aangeboden. Dit kan fouten veroorzaken, waaronder maar niet beperkt tot een of meer van de volgende:
- Replicatie kan mislukken bij de bron.
- Azure Site Recovery onderdelen verbindingsfouten met fout 10054 (een bestaande verbinding is geforceerd gesloten door de externe host).
- Services met betrekking tot Azure Site Recovery worden niet gestopt of gestart zoals gewoonlijk.