Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como habilitar o TLS (Transport Layer Security) 1.2 para o Backup do Azure para garantir a transmissão segura de dados por redes. O TLS 1.2 oferece proteção aprimorada em comparação com versões de protocolo anteriores, ajudando a proteger dados de backup contra vulnerabilidades e acesso não autorizado.
Versões anteriores do Windows e atualizações necessárias
Em computadores que usam versões anteriores do Windows, é necessário instalar as atualizações correspondentes indicadas abaixo, bem como aplicar as alterações documentadas nos artigos KB no Registro.
| Sistema operacional | artigos da base de dados |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Observação
A atualização instala os componentes de protocolo necessários. Depois da instalação, você deve fazer as alterações indicadas nos artigos do KB nas chaves do Registro para habilitar os protocolos necessários.
Verificar as configurações do Registro do Windows para TLS
Para garantir que o TLS 1.2 esteja habilitado em seu computador Windows, verifique se as seguintes configurações do Registro estão configuradas corretamente.
Configurar protocolos SChannel
As chaves de Registro abaixo habilitam o protocolo TLS 1.2 no nível de componentes SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Observação
Os valores mostrados são definidos por padrão no Windows Server 2012 R2 e em versões mais recentes. Nessas versões do Windows, não é necessário criar as chaves do Registro caso estejam ausentes.
Configurar o .NET Framework
As chaves do Registro abaixo configuram o .NET Framework para dar suporte para criptografia forte. Leia mais sobre a configuração do .NET Framework aqui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Alterações no certificado TLS do Azure
Os pontos de extremidade do TLS/SSL do Azure agora contêm o encadeamento de certificados atualizados até as novas ACs raiz. Verifique se as alterações a seguir incluem os CAs raiz atualizados. Saiba mais sobre os possíveis impactos em seus aplicativos.
Anteriormente, a maioria dos certificados TLS, usados pelos serviços do Azure, eram encadeados à seguinte AC raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Agora, os certificados TLS, usados pelos serviços do Azure, ajudam a encadear até uma das seguintes ACs raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Autoridade de Certificação Raiz Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Autoridade de Certificação Raiz da Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Perguntas frequentes sobre TLS
Por que habilitar o TLS 1.2?
O TLS 1.2 é mais seguro que os protocolos de criptografia anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços do Backup do Azure já dão suporte completo para o TLS 1.2.
O que determina o protocolo de criptografia usado?
A versão do protocolo mais alta com suporte do cliente e do servidor é negociada para estabelecer a conversa criptografada. Veja mais informações sobre o protocolo de handshake do TLS em Estabelecer uma sessão segura usando TLS.
Qual é o impacto de não habilitar o TLS 1.2?
Para aumentar a segurança contra ataques de downgrade de protocolo, o Backup do Azure está começando a desabilitar as versões do TLS anteriores à 1.2 em fases. Isso faz parte de uma mudança de longo prazo entre serviços para não permitir conexões de protocolos e conjuntos de criptografia herdados. Os serviços e os componentes do Backup do Azure dão suporte total para o TLS 1.2. No entanto, as versões do Windows que não têm atualizações necessárias ou determinadas configurações personalizadas ainda podem impedir a oferta de protocolos TLS 1.2. Isso pode causar falhas, incluindo, entre outras:
- Falha das operações de backup e restauração.
- As conexões dos componentes de backup falham com o erro 10054 (uma conexão existente foi fechada à força pelo host remoto).
- Os serviços relacionados ao Backup do Azure não serão parados nem iniciados como de costume.