Segurança da camada de transporte no Azure Site Recovery
Transport Layer Security (TLS) é um protocolo de criptografia que mantém os dados seguros quando são transferidos através de uma rede. O Azure Site Recovery usa TLS para proteger a privacidade dos dados que estão sendo transferidos. O Azure Site Recovery agora usa o protocolo TLS 1.2, para maior segurança.
Habilitar TLS em versões mais antigas do Windows
Se a máquina estiver executando versões anteriores do Windows, certifique-se de instalar as atualizações correspondentes conforme detalhado abaixo e faça as alterações do Registro conforme documentado nos respetivos artigos da KB.
| Sistema operativo | Artigo KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
A atualização instala os componentes necessários para o protocolo. Após a instalação, para habilitar os protocolos necessários, certifique-se de atualizar as chaves do Registro conforme mencionado nos artigos KB acima.
Verificar o registro do Windows
Configurar protocolos SChannel
As seguintes chaves do Registro garantem que o protocolo TLS 1.2 esteja habilitado no nível do componente SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
Por padrão, as chaves do Registro acima são definidas em valores mostrados no Windows Server 2012 R2 e versões posteriores. Para essas versões do Windows, se as chaves do Registro estiverem ausentes, não será necessário criá-las.
Configurar o .NET Framework
Use as seguintes chaves do Registro para configurar o .NET Framework que oferece suporte a criptografia forte. Saiba mais sobre como configurar o .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
Nota
Se as chaves do Registro estiverem ausentes, não será necessário criá-las para o Windows Server 2012 R2 ou versões posteriores se o TLS 1.2 estiver habilitado nos protocolos SChannel.
Perguntas mais frequentes
Por que ativar o TLS 1.2?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Azure Site Recovery suportam totalmente o TLS 1.2.
O que determina o protocolo de encriptação utilizado?
A versão de protocolo mais alta suportada pelo cliente e pelo servidor é negociada para estabelecer a conversa criptografada. Para obter mais informações sobre o protocolo de handshake TLS, consulte Estabelecendo uma sessão segura usando TLS.
Qual é o impacto se o TLS 1.2 não estiver habilitado?
Para melhorar a segurança contra ataques de downgrade de protocolo, o Azure Site Recovery está começando a desabilitar versões TLS anteriores à 1.2. Isso faz parte de uma mudança de longo prazo entre os serviços para não permitir conexões de protocolo legado e conjunto de codificação. Os serviços e componentes do Azure Site Recovery suportam totalmente o TLS 1.2. No entanto, as versões do Windows sem atualizações necessárias ou certas configurações personalizadas ainda podem impedir que os protocolos TLS 1.2 sejam oferecidos. Isso pode causar falhas, incluindo, mas não limitado a, um ou mais dos seguintes:
- A replicação pode falhar na origem.
- Falhas de conexões de componentes do Azure Site Recovery com erro 10054 (Uma conexão existente foi fechada à força pelo host remoto).
- Os serviços relacionados ao Azure Site Recovery não param ou iniciam como de costume.