Transport Layer Security no Azure Site Recovery

Transport Layer Security (TLS) é um protocolo de encriptação que mantém os dados seguros quando são transferidos através de uma rede. O Azure Site Recovery utiliza o TLS para proteger a privacidade dos dados que estão a ser transferidos. O Azure Site Recovery utiliza agora o protocolo TLS 1.2 para melhorar a segurança.

Ativar o TLS em versões mais antigas do Windows

Se o computador estiver a executar versões anteriores do Windows, certifique-se de que instala as atualizações correspondentes conforme detalhado abaixo e faça as alterações do registo conforme documentado nos respetivos artigos da BDC.

Sistema operativo	Artigo BDC
Windows Server 2008 SP2	https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012	https://support.microsoft.com/help/3140245

Nota

A atualização instala os componentes necessários para o protocolo. Após a instalação, para ativar os protocolos necessários, certifique-se de que atualiza as chaves de registo, conforme mencionado nos artigos da BDC acima.

Verificar o registo do Windows

Configurar protocolos SChannel

As seguintes chaves de registo garantem que o protocolo TLS 1.2 está ativado ao nível do componente SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Nota

Por predefinição, as chaves de registo acima são definidas nos valores apresentados no Windows Server 2012 R2 e versões posteriores. Para estas versões do Windows, se as chaves de registo estiverem ausentes, não é necessário criá-las.

Configurar .NET Framework

Utilize as seguintes chaves de registo para configurar .NET Framework que suportam criptografia forte. Saiba mais sobre como configurar .NET Framework aqui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Perguntas mais frequentes

Porquê ativar o TLS 1.2?

O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Azure Site Recovery suportam totalmente o TLS 1.2.

O que determina o protocolo de encriptação utilizado?

A versão de protocolo mais elevada suportada pelo cliente e pelo servidor é negociada para estabelecer a conversação encriptada. Para obter mais informações sobre o protocolo de handshake TLS, veja Establishing a Secure Session by using TLS (Estabelecer uma Sessão Segura com o TLS).

Qual é o impacto se o TLS 1.2 não estiver ativado?

Para melhorar a segurança dos ataques de mudança para uma versão anterior do protocolo, o Azure Site Recovery está a começar a desativar versões TLS anteriores à 1.2. Isto faz parte de uma mudança de longo prazo entre serviços para não permitir ligações de protocolo e conjunto de cifras legadas. Os serviços e componentes do Azure Site Recovery suportam totalmente o TLS 1.2. No entanto, as versões do Windows sem atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a disponibilização de protocolos TLS 1.2. Isto pode causar falhas, incluindo, mas não se limitando a uma ou mais das seguintes:

• A replicação pode falhar na origem.
• O Azure Site Recovery falhas de ligação de componentes com o erro 10054 (uma ligação existente foi forçada a fechar pelo anfitrião remoto).
• Os serviços relacionados com o Azure Site Recovery não param nem iniciam como habitualmente.

Recursos adicionais

• TLSP (Transport Layer Security Protocol)
• Garantir o suporte para o TLS 1.2 em sistemas operativos implementados
• Transport layer security (TLS) best practices with the .NET Framework