Azure Site Recovery 中的传输层安全性

传输层安全性 (TLS) 是在通过网络传输数据时保护数据安全的加密协议。 Azure Site Recovery 使用 TLS 来保护正在传输的数据的隐私。 Azure Site Recovery 现在使用 TLS 1.2 协议来提高安全性。

在旧版本的 Windows 上启用 TLS

如果计算机运行的是较早版本的 Windows,请确保安装如下详述的相应更新,并按照相应知识库文章中的说明进行注册表更改。

操作系统 知识库文章
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2、Windows 7、Windows Server 2012 https://support.microsoft.com/help/3140245

注意

更新将安装协议所需的组件。 安装后,若要启用所需的协议,请确保更新上述知识库文章中提到的注册表项。

验证 Windows 注册表

配置 SChannel 协议

以下注册表项确保在 SChannel 组件级别启用 TLS 1.2 协议:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

注意

默认情况下,上述注册表项设置为 Windows Server 2012 R2 及更高版本中显示的值。 对于这些版本的 Windows,如果缺少注册表项,则无需创建它们。

配置 .NET Framework

使用以下注册表项来配置支持强加密的 .NET Framework。 详细了解在此处配置 .NET Framework

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

常见问题

为什么启用 TLS 1.2?

TLS 1.2 比以前的加密协议(如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1)更安全。 Azure Site Recovery 服务完全支持 TLS 1.2。

什么因素决定所使用的加密协议?

客户端和服务器都支持的最高协议版本会通过协商确定,以便建立加密会话。 有关 TLS 握手协议的详细信息,请参阅通过使用 TLS 建立安全会话

如果未启用 TLS 1.2,会有什么影响?

为了更好地防御协议降级攻击,Azure Site Recovery 将开始禁用早于 1.2 的 TLS 版本。 这是为了禁止旧协议和密码套件连接而在服务间进行的长期转换过程的一部分。 Azure Site Recovery 服务和组件完全支持 TLS 1.2。 但是,缺少所需更新或某些自定义配置的 Windows 版本仍会阻止提供 TLS 1.2 协议。 这可能会导致失败,其中包括但不限于以下一种或多种情况:

  • 复制可能在源中失败。
  • Azure Site Recovery 组件连接失败,出现错误 10054(远程主机强行关闭了现有的连接)。
  • 与 Azure Site Recovery 相关的服务无法正常停止或启动。

其他资源