Transport Layer Security no Azure Backup
Transport Layer Security (TLS) é um protocolo de encriptação que mantém os dados seguros quando são transferidos através de uma rede. Azure Backup utiliza a segurança da camada de transporte para proteger a privacidade dos dados de cópia de segurança que estão a ser transferidos. Este artigo descreve os passos para ativar o protocolo TLS 1.2, que fornece segurança melhorada em versões anteriores.
Versões anteriores do Windows
Se o computador estiver a executar versões anteriores do Windows, as atualizações correspondentes indicadas abaixo têm de ser instaladas e as alterações de registo documentadas nos artigos da BDC têm de ser aplicadas.
Sistema operativo | Artigo BDC |
---|---|
Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
A atualização irá instalar os componentes de protocolo necessários. Após a instalação, tem de fazer as alterações à chave de registo mencionadas nos artigos da BDC acima para ativar corretamente os protocolos necessários.
Verificar o registo do Windows
Configurar protocolos SChannel
As seguintes chaves de registo garantem que o protocolo TLS 1.2 está ativado ao nível do componente SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
Os valores apresentados são predefinidos no Windows Server 2012 R2 e nas versões mais recentes. Para estas versões do Windows, se as chaves de registo estiverem ausentes, não precisam de ser criadas.
Configurar .NET Framework
As seguintes chaves de registo configuram .NET Framework para suportar criptografia forte. Pode ler mais sobre como configurar .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Alterações ao certificado TLS do Azure
Os pontos finais do TLS/SSL do Azure contêm agora certificados atualizados em cadeia com novas ACs de raiz. Certifique-se de que as seguintes alterações incluem as ACs de raiz atualizadas. Saiba mais sobre os possíveis impactos nas suas aplicações.
Anteriormente, a maioria dos certificados TLS, utilizados pelos serviços do Azure, acorrentados à seguinte AC de Raiz:
Nome comum da AC | Thumbprint (SHA1) |
---|---|
Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Agora, os certificados TLS, utilizados pelos serviços do Azure, ajudam a encadear até uma das seguintes ACs de Raiz:
Nome comum da AC | Thumbprint (SHA1) |
---|---|
DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Perguntas mais frequentes
Porquê ativar o TLS 1.2?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Azure Backup serviços já suportam totalmente o TLS 1.2.
O que determina o protocolo de encriptação utilizado?
A versão de protocolo mais elevada suportada pelo cliente e pelo servidor é negociada para estabelecer a conversação encriptada. Para obter mais informações sobre o protocolo de handshake TLS, veja Establishing a Secure Session by using TLS (Estabelecer uma Sessão Segura com o TLS).
Qual é o impacto de não ativar o TLS 1.2?
Para melhorar a segurança dos ataques de mudança para uma versão anterior do protocolo, Azure Backup está a começar a desativar as versões do TLS anteriores à 1.2 de forma faseada. Isto faz parte de uma mudança de longo prazo entre serviços para não permitir ligações de protocolo e conjunto de cifras legadas. Azure Backup serviços e componentes suportam totalmente o TLS 1.2. No entanto, as versões do Windows sem atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a disponibilização de protocolos TLS 1.2. Isto pode causar falhas, incluindo, mas não se limitando a uma ou mais das seguintes:
- As operações de cópia de segurança e restauro podem falhar.
- As ligações dos componentes de cópia de segurança falham com o erro 10054 (uma ligação existente foi forçada a fechar pelo anfitrião remoto).
- Os serviços relacionados com Azure Backup não param nem iniciam como habitualmente.