12Sep

Τρόπος ενημέρωσης της σουίτας Cipher του Windows Server για καλύτερη ασφάλεια

Εκτελείτε έναν αξιοσέβαστο ιστότοπο που μπορούν να εμπιστευτούν οι χρήστες σας.Σωστά?Ίσως θελήσετε να κάνετε διπλό έλεγχο.Εάν ο ιστότοπός σας εκτελείται σε Microsoft Internet Information Services( IIS), μπορεί να είστε σε έκπληξη.Όταν οι χρήστες σας προσπαθούν να συνδεθούν με τον διακομιστή σας μέσω ασφαλούς σύνδεσης( SSL / TLS), ενδέχεται να μην τους παρέχετε μια ασφαλή επιλογή.

Η παροχή μιας καλύτερης κρυπτογραφικής σουίτας είναι δωρεάν και πολύ εύκολη στη ρύθμιση.Απλά ακολουθήστε αυτόν τον οδηγό βήμα προς βήμα για την προστασία των χρηστών και του διακομιστή σας.Θα μάθετε επίσης πώς να δοκιμάζετε τις υπηρεσίες που χρησιμοποιείτε για να δείτε πόσο ασφαλείς είναι πραγματικά.

Γιατί οι σουίτες σας Cipher είναι σημαντικές

Η IIS της Microsoft είναι πολύ καλή.Είναι εύκολο να εγκατασταθεί και να διατηρηθεί.Έχει μια φιλική προς το χρήστη γραφική διεπαφή που κάνει τη διαμόρφωση ένα αεράκι.Τρέχει στα Windows.Το IIS έχει πραγματικά πολλά πράγματα για αυτό, αλλά πραγματικά πέφτει στο επίπεδο όταν πρόκειται για προεπιλογές ασφαλείας.

Δείτε πώς λειτουργεί μια ασφαλής σύνδεση.Το πρόγραμμα περιήγησής σας ξεκινά μια ασφαλή σύνδεση με έναν ιστότοπο.Αυτό αναγνωρίζεται πιο εύκολα από μια διεύθυνση URL που αρχίζει με "HTTPS: //".Ο Firefox προσφέρει ένα μικρό εικονίδιο κλειδαριάς για να απεικονίσει το σημείο περαιτέρω.Το Chrome, ο Internet Explorer και το Safari έχουν όλες τις παρόμοιες μεθόδους για να σας ενημερώσουν ότι η σύνδεσή σας είναι κρυπτογραφημένη.Ο διακομιστής που συνδέεστε με απαντήσεις στο πρόγραμμα περιήγησής σας με μια λίστα επιλογών κρυπτογράφησης για να επιλέξετε από τη σειρά των πιο προτιμώμενων σε λιγότερο.Το πρόγραμμα περιήγησης κατεβαίνει στον κατάλογο μέχρι να βρει μια επιλογή κρυπτογράφησης που του αρέσει και είμαστε εκτός λειτουργίας.Τα υπόλοιπα, όπως λένε, είναι μαθηματικά.(Κανείς δεν το λέει αυτό.)

Το θανατηφόρο ελάττωμα σε αυτό είναι ότι δεν είναι όλες οι επιλογές κρυπτογράφησης δημιουργούνται εξίσου.Κάποιοι χρησιμοποιούν πραγματικά εξαιρετικούς αλγόριθμους κρυπτογράφησης( ECDH), άλλοι είναι λιγότερο μεγάλοι( RSA), και κάποιοι είναι απλώς κακοποιημένοι( DES).Ένα πρόγραμμα περιήγησης μπορεί να συνδεθεί σε ένα διακομιστή χρησιμοποιώντας οποιαδήποτε από τις επιλογές που παρέχει ο διακομιστής.Αν ο ιστότοπός σας προσφέρει κάποιες επιλογές ECDH, αλλά και ορισμένες επιλογές DES, ο διακομιστής σας θα συνδεθεί και στις δύο.Η απλή πράξη προσφοράς αυτών των κακών επιλογών κρυπτογράφησης καθιστά τον ιστότοπό σας, τον διακομιστή σας και τους χρήστες σας δυνητικά ευάλωτους.Δυστυχώς, από προεπιλογή, το IIS παρέχει κάποιες πολύ κακές επιλογές.Δεν είναι καταστροφικό, αλλά σίγουρα δεν είναι καλό.

Πώς να δείτε πού στέκεστε

Πριν ξεκινήσουμε, ίσως να θέλετε να ξέρετε πού βρίσκεται ο ιστότοπός σας.Ευτυχώς, οι καλοί χρήστες της Qualys παρέχουν δωρεάν σε όλους μας τα SSL Labs.Εάν μεταβείτε στο https: //www.ssllabs.com/ssltest/, μπορείτε να δείτε ακριβώς πώς ανταποκρίνεται ο διακομιστής σας σε αιτήματα HTTPS.Μπορείτε επίσης να δείτε πώς οι υπηρεσίες που χρησιμοποιείτε κανονικά στοιβάζονται.

Μια σημείωση με προσοχή εδώ.Ακριβώς επειδή ένας ιστότοπος δεν λαμβάνει μια βαθμολογία Α δεν σημαίνει ότι οι λαοί που τους τρέχουν κάνουν κακή δουλειά.Το SSL Labs slams RC4 ως έναν ασθενή αλγόριθμο κρυπτογράφησης, παρόλο που δεν υπάρχουν γνωστές επιθέσεις εναντίον του.Είναι αλήθεια ότι είναι λιγότερο ανθεκτικό σε βίαιες απόπειρες βίας από κάτι σαν το RSA ή το ECDH, αλλά δεν είναι απαραίτητα κακό.Ένας δικτυακός τόπος μπορεί να προσφέρει μια επιλογή σύνδεσης RC4 εξαιτίας της ανάγκης για συμβατότητα με συγκεκριμένα προγράμματα περιήγησης, ώστε να χρησιμοποιήσετε την κατάταξη των τοποθεσιών ως κατευθυντήρια γραμμή, όχι μια σιδερότυπη δήλωση ασφαλείας ή την έλλειψή της.

Ενημέρωση της σουίτας κρυπτογράφησης

Έχουμε καλύψει το φόντο, τώρα ας βγάλουμε τα χέρια μας βρώμικα.Η ενημέρωση της σουίτας επιλογών που παρέχει ο διακομιστής των Windows σας δεν είναι απαραιτήτως απλή, αλλά σίγουρα δεν είναι δύσκολο.

Για να ξεκινήσετε, πατήστε το πλήκτρο Windows + R για να εμφανιστεί το πλαίσιο διαλόγου "Εκτέλεση".Πληκτρολογήστε "gpedit.msc" και κάντε κλικ στο "OK" για να ξεκινήσετε τον Επεξεργαστή πολιτικής ομάδας.Εδώ θα κάνουμε τις αλλαγές μας.

Στην αριστερή πλευρά, αναπτύξτε τη ρύθμιση Διαμόρφωση υπολογιστή, πρότυπα διαχείρισης, δίκτυο και, στη συνέχεια, κάντε κλικ στις ρυθμίσεις παραμέτρων SSL.

Στη δεξιά πλευρά, κάντε διπλό κλικ στην εντολή SSL Cipher Suite.

Από προεπιλογή, έχει επιλεγεί το κουμπί "Δεν έχει ρυθμιστεί".Κάντε κλικ στο κουμπί "Ενεργοποιημένο" για να επεξεργαστείτε το Cipher Suites του διακομιστή σας.

Το πεδίο SSL Cipher Suites θα συμπληρωθεί με κείμενο μόλις πατήσετε το κουμπί.Αν θέλετε να δείτε τι προσφέρει το Cipher Suites στον διακομιστή σας, αντιγράψτε το κείμενο από το πεδίο SSL Cipher Suites και επικολλήστε το στο Notepad.Το κείμενο θα είναι σε μια μακρά, αδιάσπαστη σειρά.Κάθε μία από τις επιλογές κρυπτογράφησης διαχωρίζεται με κόμμα.Κάνοντας κάθε επιλογή στη δική της γραμμή θα καταστεί ευκολότερη η ανάγνωση της λίστας.

Μπορείτε να περάσετε από τη λίστα και να προσθέσετε ή να αφαιρέσετε στο περιεχόμενο της καρδιάς σας με έναν περιορισμό.ο κατάλογος δεν μπορεί να είναι μεγαλύτερος από 1.023 χαρακτήρες.Αυτό είναι ιδιαίτερα ενοχλητικό επειδή οι σουίτες κρυπτογράφησης έχουν μακρά ονόματα όπως "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", γι 'αυτό επιλέξτε προσεκτικά.Σας συνιστώ να χρησιμοποιήσετε τον κατάλογο που συνέταξε ο Steve Gibson στο GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.

Μόλις διαχειριστείτε τη λίστα σας, πρέπει να την διαμορφώσετε για χρήση.Όπως και ο αρχικός κατάλογος, η νέα σας πρέπει να είναι μια αδιάσπαστη σειρά χαρακτήρων με κάθε κρυπτογράφο χωρισμένο με κόμμα.Αντιγράψτε το μορφοποιημένο κείμενο και επικολλήστε το στο πεδίο SSL Cipher Suites και κάντε κλικ στο κουμπί OK.Τέλος, για να κάνετε το stick stick, πρέπει να επανεκκινήσετε.

Με το διακομιστή σας να λειτουργεί και να λειτουργεί, κατευθυνθείτε στο SSL Labs και δοκιμάστε το.Εάν όλα πάνε καλά, τα αποτελέσματα θα σας δώσουν μια βαθμολογία Α.

Αν θέλετε κάτι λίγο πιο οπτικό, μπορείτε να εγκαταστήσετε το IIS Crypto από το Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Αυτή η εφαρμογή θα σας επιτρέψει να κάνετε τις ίδιες αλλαγές με τα παραπάνω βήματα.Σας επιτρέπει επίσης να ενεργοποιήσετε ή να απενεργοποιήσετε τα ψηφιακά κρυπτογραφικά συστήματα με βάση μια ποικιλία κριτηρίων, ώστε να μην χρειάζεται να τα περάσετε χειροκίνητα.

Ανεξάρτητα από το πώς το κάνετε, η ενημέρωση του Cipher Suites είναι ένας εύκολος τρόπος για να βελτιώσετε την ασφάλεια για εσάς και τους τελικούς χρήστες σας.