Säkerhet på transportnivå i Azure Site Recovery
TLS (Transport Layer Security) är ett krypteringsprotokoll som skyddar data när de överförs över ett nätverk. Azure Site Recovery använder TLS för att skydda sekretessen för data som överförs. Azure Site Recovery använder nu TLS 1.2-protokollet för förbättrad säkerhet.
Aktivera TLS på äldre versioner av Windows
Om datorn kör tidigare versioner av Windows ska du se till att installera motsvarande uppdateringar enligt beskrivningen nedan och göra registerändringarna enligt beskrivningen i respektive KB-artiklar.
| Operativsystem | KB-artikel |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Anteckning
Uppdateringen installerar nödvändiga komponenter för protokollet. Efter installationen, för att aktivera de protokoll som krävs, se till att uppdatera registernycklarna enligt beskrivningen i ovanstående KB-artiklar.
Verifiera Windows-registret
Konfigurera SChannel-protokoll
Följande registernycklar ser till att TLS 1.2-protokollet är aktiverat på komponentnivån SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Anteckning
Som standard anges ovanstående registernycklar i värden som visas i Windows Server 2012 R2 och senare versioner. Om registernycklarna saknas för dessa versioner av Windows behöver du inte skapa dem.
Konfigurera .NET Framework
Använd följande registernycklar för att konfigurera .NET Framework som stöder stark kryptografi. Läs mer om hur du konfigurerar .NET Framework här.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Vanliga frågor och svar
Varför aktivera TLS 1.2?
TLS 1.2 är säkrare än tidigare kryptografiska protokoll som SSL 2.0, SSL 3.0, TLS 1.0 och TLS 1.1. Azure Site Recovery-tjänster har fullt stöd för TLS 1.2.
Vad avgör vilket krypteringsprotokoll som används?
Den högsta protokollversion som stöds av både klienten och servern förhandlas för att upprätta den krypterade konversationen. Mer information om TLS-handskakningsprotokollet finns i Upprätta en säker session med hjälp av TLS.
Vad är effekten om TLS 1.2 inte är aktiverat?
För förbättrad säkerhet från nedgradering av protokoll börjar Azure Site Recovery inaktivera TLS-versioner som är äldre än 1.2. Detta är en del av en långsiktig förändring mellan tjänster för att neka äldre protokoll- och chiffersvitanslutningar. Azure Site Recovery tjänster och komponenter har fullt stöd för TLS 1.2. Windows-versioner som saknar nödvändiga uppdateringar eller vissa anpassade konfigurationer kan dock fortfarande förhindra att TLS 1.2-protokoll erbjuds. Detta kan orsaka fel, inklusive men inte begränsat till ett eller flera av följande:
- Replikeringen kan misslyckas vid källan.
- Anslutningsfel för Azure Site Recovery-komponenter med fel 10054 (En befintlig anslutning stängdes av fjärrvärden).
- Tjänster som är relaterade till Azure Site Recovery stoppas eller startas inte som vanligt.