TLS 1.0 を無効にした際の Microsoft Azure Recovery Services エージェントへの影響について

PCI コンプライアンスに準拠、および遵守のため、対象となる企業や業者は 2018/06/30 までに TLS 1.0 を無効化する必要があり、これから対策される方もいるかと思います。

• PCI SECURITY STANDARDS COUNCIL REVISES DATE FOR MIGRATING OFF VULNERABLE SSL AND EARLY TLS ENCRIPTION
  https://www.pcisecuritystandards.org/pdfs/15_12_18_SSL_Webinar_Press_Release_FINAL_%28002%29.pdf

TLS 1.0 を無効化した場合、対象のサーバーおよびコンピューターに Microsoft Azure Recovery Services (MARS) エージェントがインストールされている場合、以下の Microsoft 技術情報 – 4022913 (KB4022913) にも記載がありますが、「バックアップに失敗する」、「MARS エージェント コンソール」、「MARS エージェントに関連するサービスが正常に停止、開始しない」といった影響が発生する場合があるようです。

• How to resolve Azure backup agent issues when disabling TLS 1.0 for PCI Compliance
  https://support.microsoft.com/en-us/help/4022913

原因として、MARS エージェントの動作に必要な .NET Framework 4.5 が TLS 1.2 までサポートしていますが、既定では TLS 1.0 と設定されているため、となります。

現象を回避するには、KB4022913 にも記載されていますが、以下の手順を実施、TLS 1.0 から TLS 1.2 に設定を変更する必要があります。

回避手順

注 : レジストリを誤って変更した場合、OS やアプリケーションが正常に動作しないなど深刻な問題が発生する場合があります。万一に備えてレジストリのバックアップの取得をお願いします。

• Windows でレジストリをバックアップおよび復元する方法
  https://support.microsoft.com/ja-jp/help/322756

1. 管理者権限でコマンド プロンプトを起動、以下のコマンドを実行して、サービスを停止します。

    net stop obengine 

   

2. レジストリ エディター (要管理者権限) を起動、以下の各レジストリ サブキーに移動、バージョンを示すサブキーを確認します。
   注 : バージョンを示すサブキーは、“v<バージョン番号>” となります。
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\
  
• HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\.NETFramework\
  
3. 各バージョンのサブキーに移動し、「SchUseStrongCrypto」 という名前で DWORD 値を作成、値を 1 に設定します。
   ※各バージョンのサブキーすべてで実施する必要があります。
   
4. レジストリ エディターを終了します。
5. コマンド プロンプト上で以下のコマンドを実行して、サービスを開始します。

    net start obengine 

   

6. コマンド プロンプトを終了します。

参考

• クラウド バックアップ-オンライン バックアップ ソフトウェア | Microsoft Azure
  https://azure.microsoft.com/ja-jp/services/backup/
• Azure Backup のドキュメント – チュートリアル、API リファレンス | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/backup/
• 料金 – クラウド バックアップ | Microsoft Azure
  https://azure.microsoft.com/ja-jp/pricing/details/backup/
• Microsoft Trust Center | Payment Card Industry (PCI) Data Security Standard (DSS) レベル 1 サービス プロバイダー
  https://www.microsoft.com/ja-jp/TrustCenter/Compliance/PCI
• Announcing PCI DSS compliance and expanded ISO certification for Windows Azure, general availability of Windows Azure Hyper-V Recovery Manager and other updates to Windows Azure | ブログ | Microsoft Azure
  https://azure.microsoft.com/ja-jp/blog/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure/
• Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards
  https://www.pcisecuritystandards.org/