A Windows Server Cipher Suite frissítése a jobb biztonság érdekében
Ön tiszteletreméltó webhelyet futtat, amelyet a felhasználók bízhatnak. Jobb? Lehet, hogy meg szeretné ellenőrizni ezt. Ha webhelye a Microsoft Internet Information Services (IIS) rendszeren fut, lehet, hogy meglepetéssel jár. Amikor a felhasználók megpróbálnak csatlakozni a kiszolgálóhoz biztonságos kapcsolat (SSL / TLS) használatával, előfordulhat, hogy nem biztosít nekik biztonságos lehetőséget.
A jobb titkosítócsomag biztosítása ingyenes és nagyon könnyen beállítható. Kövesse ezt a lépésről lépésre szóló utasítást, hogy megvédje felhasználóit és kiszolgálóját. Azt is megtanulják, hogyan teszteljünk olyan szolgáltatásokat, amelyeket használnak, hogy lássák, milyen biztonságosak.
Miért fontos a Cipher Suites
A Microsoft IIS elég nagy. Könnyen telepíthető és karbantartható. Ez egy felhasználóbarát grafikus felület, amely lehetővé teszi a konfigurálást. Windows rendszeren fut. Az IIS-nek valóban nagyon sok van, de a biztonsági alapértelmezések esetén valóban sima lesz.
Így működik a biztonságos kapcsolat. A böngésző biztonságos kapcsolatot létesít egy webhelyhez. Ezt a legegyszerűbben egy „HTTPS: //” címmel kezdődő URL-cím azonosítja. A Firefox felajánl egy kis zár ikonot a pont további illusztrálására. A Chrome, az Internet Explorer és a Safari mindegyike hasonló módszerekkel rendelkezik ahhoz, hogy tudja, hogy a kapcsolat titkosított. A kiszolgáló, amelyhez csatlakozik a böngészőhöz, válaszol a titkosítási lehetőségek listájára, amelyek közül a leginkább előnyben részesített sorrendben választhat. A böngészője lefelé halad, amíg meg nem találja azt a titkosítási opciót, amelyet szeretne, és mi ki és futunk. A többi, mint mondják, a matematika. (Senki sem mondja ezt.)
A végzetes hiba ebben az, hogy nem minden titkosítási lehetőség egyenlően jön létre. Néhányan nagyon nagy titkosítási algoritmusokat (ECDH) használnak, mások kevésbé nagy (RSA), és néhányan csak rosszul tanácsosak (DES). A böngésző csatlakozhat egy szerverhez a kiszolgáló által biztosított bármely opció segítségével. Ha webhelye felajánl néhány ECDH opciót, hanem néhány DES opciót is, a kiszolgáló is csatlakozik. Az ilyen rossz titkosítási opciók felajánlása egyszerűvé teszi a webhelyet, a kiszolgálót és a felhasználókat potenciálisan sérülékenyek. Sajnos az IIS alapértelmezés szerint elég gyenge lehetőségeket kínál. Nem katasztrofális, de biztosan nem jó.
Hogyan látjuk, hol állsz
Mielőtt elkezdenénk, érdemes tudni, hogy hol áll a webhelye. Szerencsére a Qualys jó emberei ingyenesen nyújtanak SSL Labs-t. Ha a https://www.ssllabs.com/ssltest/ webhelyre megy, akkor pontosan láthatja, hogy a kiszolgáló hogyan reagál a HTTPS-kérésekre. Azt is láthatja, hogyan használják rendszeresen a szolgáltatásokat.
Itt egy óvatosság. Csak azért, mert egy webhely nem kap A minősítést, nem jelenti azt, hogy az őket futtató emberek rossz munkát végeznek. Az SSL Labs az RC4-et gyenge titkosítási algoritmusként kezeli, annak ellenére, hogy nincsenek ismert támadások. Igaz, kevésbé ellenáll a brutális erőfeszítéseknek, mint az RSA vagy az ECDH, de ez nem feltétlenül rossz. Egy webhely RC4 csatlakozási lehetőséget kínálhat az egyes böngészőkkel való kompatibilitás szükségessége miatt, ezért az oldalak rangsorát iránymutatásként használja, nem pedig vasalatú biztonsági nyilatkozatot vagy annak hiányát..
A Cipher Suite frissítése
A hátteret lefedtük, most szennyezzük meg a kezünket. A Windows szerver által kínált opciók frissítése nem feltétlenül egyszerű, de biztosan nem is nehéz.
Elindításához nyomja meg a Windows Key + R gombot a „Futtatás” párbeszédpanel megjelenítéséhez. Írja be a „gpedit.msc” parancsot, majd kattintson az „OK” gombra a csoportházirend-szerkesztő elindításához. Itt fogjuk változtatni.
A bal oldali részen bontsa ki a Számítógép konfigurációja, az Adminisztrációs sablonok, a Hálózat elemet, majd kattintson az SSL konfigurációs beállítások elemre.
A jobb oldalon kattintson duplán az SSL Cipher Suite rendelésre.
Alapértelmezés szerint a „Nem konfigurált” gomb van kiválasztva. A „Cabled Suites” szerkesztéséhez kattintson az „Engedélyezett” gombra.
Az SSL Cipher Suites mező kitölti a szöveget, miután rákattint a gombra. Ha meg szeretné tekinteni, hogy a Cipher Suites a kiszolgálója jelenleg kínálja, másolja át a szöveget az SSL Cipher Suites mezőből, és illessze be a Jegyzettömbbe. A szöveg egy hosszú, megszakítatlan karakterláncban lesz. A titkosítási lehetőségek mindegyikét vessző választja el. Az egyes opciók saját sorba helyezése megkönnyíti a lista olvasását.
A listán keresztül egy korlátozással hozzáadhatja vagy eltávolíthatja a szíved tartalmát; a lista nem lehet több, mint 1023 karakter. Ez különösen bosszantó, mert a titkosító lakosztályok hosszú neveket tartalmaznak, mint például a „TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, ezért válasszon óvatosan. Azt javaslom, hogy használja a Steve Gibson által összeállított listát a GRC.com-on: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Miután megszervezte a listáját, formázza azt használatra. Az eredeti listához hasonlóan az újnak egy törhetetlen karakterláncnak kell lennie, minden egyes titkossal vesszővel elválasztva. Másolja be a formázott szöveget, és illessze be az SSL Cipher Suites mezőbe, majd kattintson az OK gombra. Végül, a változtatáshoz, újra kell indítania.
A szerver visszaállításával és futtatásával menjen át az SSL Labs-re és próbálja ki. Ha minden jól ment, az eredményeknek A-t kell adniuk.
Ha valamit valamivel vizuálisabban szeretne, telepítheti az IIS Crypto-t a Nartac-on (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ez az alkalmazás lehetővé teszi, hogy ugyanazokat a változtatásokat hajtsa végre, mint a fenti lépések. Azt is lehetővé teszi, hogy engedélyezze vagy tiltsa le a különböző kritériumokon alapuló kódolásokat, így nem kell manuálisan átmennie őket.
Függetlenül attól, hogy mit csinál, a Cipher Suites frissítése egyszerű módja az Ön és a végfelhasználók biztonságának javítására.