传输层安全性 (TLS) 是在通过网络传输数据时保护数据安全的加密协议。 Azure Site Recovery 使用 TLS 来保护正在传输的数据的隐私。 Azure Site Recovery 现在使用 TLS 1.2 协议来提高安全性。
在旧版本的 Windows 上启用 TLS
如果计算机运行的是较早版本的 Windows,请确保安装如下详述的相应更新,并按照相应知识库文章中的说明进行注册表更改。
注意
Windows Server 2008 和 Windows Server 2008 R2 已达到支持结束(EOS)。 有关详细信息,请参阅Windows Server 2008 和 Windows Server 2008 R2 支持终止和就地升级到 Windows Server 2016、2019、2022 或 2025。 相应地查看使用情况和计划 OS 升级和迁移。
| 操作系统 | 知识库文章 |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2、Windows 7、Windows Server 2012 | https://support.microsoft.com/help/3140245 |
注意
更新将安装协议所需的组件。 安装后,若要启用所需的协议,请确保更新上述知识库文章中提到的注册表项。
验证 Windows 注册表
配置 SChannel 协议
以下注册表项确保在 SChannel 组件级别启用 TLS 1.2 协议:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
注意
默认情况下,上述注册表项设置为 Windows Server 2012 R2 及更高版本中显示的值。 对于这些版本的 Windows,如果缺少注册表项,则无需创建它们。
配置 .NET Framework
使用以下注册表项来配置支持强加密的 .NET Framework。 详细了解 .NET Framework 配置的信息。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
注意
如果缺少注册表项,则如果 SChannel 协议中启用了 TLS 1.2,则无需为 Windows Server 2012 R2 或更高版本创建它们。
常见问题解答
为什么启用 TLS 1.2?
TLS 1.2 比以前的加密协议(如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1)更安全。 Azure Site Recovery 服务完全支持 TLS 1.2。
什么因素决定所使用的加密协议?
客户端和服务器都支持的最高协议版本会通过协商确定,以便建立加密会话。 有关 TLS 握手协议的详细信息,请参阅通过使用 TLS 建立安全会话。
如果未启用 TLS 1.2,会有什么影响?
为了更好地防御协议降级攻击,Azure Site Recovery 将开始禁用早于 1.2 的 TLS 版本。 这是为了禁止旧协议和密码套件连接而在服务间进行的长期转换过程的一部分。 Azure Site Recovery 服务和组件完全支持 TLS 1.2。 但是,缺少所需更新或某些自定义配置的 Windows 版本仍会阻止提供 TLS 1.2 协议。 这可能会导致失败,其中包括但不限于以下一种或多种情况:
- 复制可能在源中失败。
- Azure Site Recovery 组件连接失败,出现错误 10054(远程主机强行关闭了现有的连接)。
- 与 Azure Site Recovery 相关的服务无法正常停止或启动。