أمان طبقة النقل في Azure Backup
بروتوكول أمان طبقة النقل (TLS) هو بروتوكول تشفير يحافظ على أمان البيانات عند نقلها عبر شبكة ما. يستخدم Azure Backup أمان طبقة النقل لحماية خصوصية بيانات النسخ الاحتياطي التي يتم نقلها. توضح هذه المقالة خطوات تمكين بروتوكول TLS 1.2، الذي يوفر أماناً محسناً مقارنة بالإصدارات السابقة.
الإصدارات السابقة من Windows
إذا كان الجهاز يعمل بإصدارات سابقة من Windows، فيجب تثبيت التحديثات المقابلة المذكورة أدناه وتطبيق تغييرات السجل الموثقة في مقالات قاعدة المعارف.
نظام التشغيل | مقال قاعدة المعارف |
---|---|
Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
Windows Server 2008 R2 وWindows 7 وWindows Server 2012 | https://support.microsoft.com/help/3140245 |
إشعار
سيقوم التحديث بتثبيت مكونات البروتوكول المطلوبة. بعد التثبيت، يجب إجراء تغييرات مفتاح التسجيل المذكورة في مقالات قاعدة المعارف أعلاه لتمكين البروتوكولات المطلوبة بشكل صحيح.
تحقق من سجل Windows
تكوين بروتوكولات القناة
تضمن مفاتيح التسجيل التالية تمكين بروتوكول TLS 1.2 على مستوى مكون القناة:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
إشعار
يتم تعيين القيم المعروضة ظاهريّاً في Windows Server 2012 R2 والإصدارات الأحدث. بالنسبة لهذه الإصدارات من Windows، إذا كانت مفاتيح التسجيل غير موجودة، فلا داعي لإنشائها.
تكوين NET. Framework
تقوم مفاتيح التسجيل التالية بتكوين NET. Framework لدعم التشفير القوي. يمكنك قراءة المزيد حول تكوين NET. Framework هنا.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
تغييرات شهادة Azure TLS
تحتوي نقاط نهاية Azure TLS/SSL الآن على شهادات محدثة تتسلسل حتى CAs جذر جديد. تأكد من أن التغييرات التالية تتضمن المراجع المصدقة الجذرية المحدثة. تعرف على المزيد حول التأثيرات المحتملة على تطبيقاتك.
في وقت سابق، معظم شهادات TLS، المستخدمة من قبل خدمات Azure، المتسلسلة حتى المرجع المصدق الجذر التالي:
الاسم الشائع للمرجع المصدق | بصمة الإبهام (لوغاريتم التجزئة الآمن 1) |
---|---|
جذر بالتيمور CyberTrust | d4de20d05e66fc53fe1a50882c78db2852cae474 |
الآن، تساعد شهادات TLS، المستخدمة من قبل خدمات Azure، على ربط ما يصل إلى أحد المراجع المصدقة الجذرية التالية:
الاسم الشائع للمرجع المصدق | بصمة الإبهام (لوغاريتم التجزئة الآمن 1) |
---|---|
DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
مرجع مصدق جذر DgiCert العمومي | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
جذر بالتيمور CyberTrust | d4de20d05e66fc53fe1a50882c78db2852cae474 |
D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
المرجع المصدق الجذر Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
المرجع المصدق الجذر لـ Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
الأسئلة الشائعة
لماذا يتم تمكين TLS 1.2؟
يعد TLS 1.2 أكثر أماناً من بروتوكولات التشفير السابقة مثل SSL 2.0 وSSL 3.0 وTLS 1.0 وTLS 1.1. تدعم خدمات Azure Backup بالفعل TLS 1.2 بشكل كامل.
ما الذي يحدد بروتوكول التشفير المستخدم؟
يتم التفاوض على أعلى إصدار بروتوكول مدعوم من قِبَلِ كُلٍّ من العميل والخادم لتأسيس المحادثة المشفرة. لمزيد من المعلومات حول بروتوكول تأكيد اتصال TLS، راجع إنشاء جلسة آمنة باستخدام TLS.
ما هو تأثير عدم تمكين TLS 1.2؟
لتحسين الأمان من هجمات الرجوع إلى إصدار أقدم من البروتوكول، بدأ Azure Backup في تعطيل إصدارات TLS الأقدم من 1.2 بطريقة مرحلية. هذا جزء من تحول طويل المدى عبر الخدمات لمنع اتصالات البروتوكول القديم ومجموعة التشفير. تدعم خدمات ومكونات Azure Backup TLS 1.2 بشكل كامل. ومع ذلك، لا تزال إصدارات Windows التي تفتقر إلى التحديثات المطلوبة أو بعض التكوينات المخصصة تمنع عرض بروتوكولات TLS 1.2. يمكن أن يتسبب هذا في حدوث إخفاقات بما في ذلك على سبيل المثال لا الحصر واحد أو أكثر مما يلي:
- قد تفشل عمليات النسخ الاحتياطي والاستعادة.
- فشل اتصالات مكونات النسخ الاحتياطي مع الخطأ 10054 (تم إغلاق اتصال موجود قسرا من قبل المضيف البعيد).
- لن تتوقف الخدمات المتعلقة بـ Azure Backup أو تبدأ كالمعتاد.