12Sep

A Windows Server Cipher Suite frissítése a jobb biztonság érdekében

Megbízható webhelyet futtat, amelyet a felhasználók megbízhatnak. Jobb? Talán ellenőrizni szeretné.Ha webhelye a Microsoft Internet Information Services( IIS) szolgáltatáson fut, akkor meglepő lehet. Amikor a felhasználók biztonságos kapcsolaton( SSL / TLS) keresztül próbálnak kapcsolódni a kiszolgálóhoz, előfordulhat, hogy nem biztos, hogy biztos lehet benne.

A jobb titkosítási csomag használata ingyenes és könnyen beállítható.Csak kövesse ezt a lépésenkénti útmutatót a felhasználók és a kiszolgáló védelme érdekében. Azt is megtudhatja, hogyan tesztelheti a szolgáltatásokat, hogy megnézze, mennyire biztonságosak valójában.

Miért fontos a Cipher Suites fontos

A Microsoft IIS-je nagyon jó.Mindkettő könnyű beállítani és karbantartani. A felhasználóbarát grafikus felület megkönnyíti a konfigurációt. Windows alatt fut. Az IIS valóban sok mindent megtesz, de tényleg esik a biztonsági alapértelmezésekre.

A biztonságos kapcsolat működése. A böngésző biztonságos kapcsolatot kezdeményez egy webhelyen. Ezt leginkább egy "HTTPS: //" kezdődő URL-címmel lehet azonosítani. A Firefox egy kis zároló ikont kínál a pont tovább illusztrálására. A Chrome, az Internet Explorer és a Safari hasonló módszerekkel rendelkezik arra, hogy tudassa velünk, hogy a kapcsolat titkosítva van. A kiszolgáló, amelyhez csatlakozik, válaszol a böngészőre, és a titkosítási lehetőségek listája a leginkább előnyben részesített sorrend közül választhat. A böngészője lefelé halad a listán, amíg megtalálja a titkosítási opciót, és nem működik. A többiek, mint mondják, a matek.(Senki sem mondja ezt.)

A végzetes hiba ebben az, hogy nem minden titkosítási opciót hoznak létre egyenlően. Néhány nagyon nagy titkosítási algoritmust( ECDH) használ, mások kevésbé jó( RSA), és néhányan csak rosszul tanácsták( DES).A böngészõ a kiszolgálón keresztül bármely szerverhez csatlakozhat. Ha a webhely felajánlja néhány ECDH opciót, de néhány DES opciót is, a kiszolgáló csatlakozik bármelyikhez. A rossz titkosítási lehetőségeket kínáló egyszerű cselekedet miatt a webhely, a kiszolgáló és a felhasználók potenciálisan sebezhetőek lehetnek. Sajnos alapértelmezés szerint az IIS eléggé rossz lehetőségeket kínál. Nem katasztrofális, de biztosan nem jó.

Az

bemutatása Mielőtt elkezdenénk, érdemes tudni, hol áll a webhely. Szerencsére a jó emberek a Qualysnál az SSL Labs-t mindannyiunk számára ingyen biztosítják. Ha a https: //www.ssllabs.com/ssltest/ lapon megy, pontosan megnézheti, hogy a szerver hogyan reagál a HTTPS kérésekre. Láthatja, hogy a rendszeresen felhasznált szolgáltatások mennyire össze vannak kötve.

Egy figyelmeztetés itt. Csak azért, mert egy webhely nem kap A minősítést, nem jelenti azt, hogy a futó emberek rossz munkát végeznek. Az SSL Labs az RC4 gyenge titkosítási algoritmust sújtja, annak ellenére, hogy nincsenek ismert támadások. Igaz, kevésbé ellenáll a brute force kísérletek, mint valami RSA vagy ECDH, de ez nem feltétlenül rossz. Egy webhely RC4 kapcsolódási lehetőséget kínálhat az egyes böngészőkkel való összeegyeztethetőség érdekében, ezért útmutatásként használja a webhelyekre vonatkozó rangsorokat, nem pedig vasalatokkal ellátott biztonsági nyilatkozatot vagy annak hiányát.

A cipher lakosztály frissítése

A hátteret lefedtük, most piszkosak a kezünk. A Windows szerver által nyújtott opciókészlet frissítése nem feltétlenül egyértelmű, de ez sem feltétlenül nehéz.

A kezdéshez nyomja meg a Windows billentyû + R billentyût a "Futtatás" párbeszédablak megjelenítéséhez.Írja be a "gpedit.msc" parancsot, és kattintson az "OK" gombra a Csoportházirend-szerkesztő elindításához. Itt változtathatunk meg.

A bal oldalon bontsa ki a Számítógép konfiguráció, a Felügyeleti sablonok, a Hálózat elemet, majd kattintson az SSL konfigurációs beállítások lehetőségre.

A jobb oldalon kattintson duplán az SSL Cipher Suite Orderre.

Alapértelmezés szerint a "Nem konfigurált" gomb van kiválasztva. Kattintson a "Engedélyezve" gombra a kiszolgáló Cipher Suites szerkesztéséhez.

Az SSL Cipher Suites mező kitöltése szöveggel történik, miután rákattintott a gombra. Ha szeretné megtudni, hogy a Cipher Suites melyik szervere kínál jelenleg, másolja a szöveget az SSL Cipher Suites mezőjéből, és illessze be a Notepadba. A szöveg egy hosszú, töredezett szövegben lesz. A titkosítási lehetőségek mindegyikét vessző választja el. Az egyes opciók saját vonalán történő elhelyezése megkönnyíti a listát.

A listán keresztül megy át, és hozzáadhatja vagy eltávolíthatja a szív tartalmát egy korlátozással;a lista legfeljebb 1023 karakter lehet. Ez különösen bosszantó, mivel a titkos lakosztályok olyan hosszú nevekkel rendelkeznek, mint a "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", ezért óvatosan válasszon. Javaslom használni a listát, amelyet Steve Gibson tett össze a GRC.com-on: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.

Miután szerkesztetted listádat, meg kell formázni a használatát. Az eredeti listához hasonlóan az újnak egy karaktert kell tartalmaznia, amelynek minden egyes kódja vesszővel van elválasztva. Másolja a formázott szöveget és illessze be az SSL Cipher Suites mezőbe, majd kattintson az OK gombra. Végül a változtatáshoz újra be kell indítania.

A kiszolgáló biztonsági másolata és futása után vezesse az SSL Labs-ot, és tesztelje ki. Ha minden jól megy, akkor az eredménynek egy A minősítést kell adnia.

Ha valami vizuálisan szeretne valamit, akkor a Nartac segítségével telepítheti az IIS Crypto programot( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Ez az alkalmazás lehetővé teszi ugyanazokat a módosításokat, mint a fenti lépések. Ezenkívül lehetővé teszi a titkosítások engedélyezését vagy letiltását számos kritérium alapján, így nem kell manuálisan átmennie.

Nem számít, hogyan csinálja, a Cipher Suites frissítése egyszerű módja annak, hogy javítsa biztonságát az Ön és a végfelhasználók számára.