12Sep

Kaip atnaujinti savo Windows Server Cipher Suite geresnį saugumą

Jūs naudojate gerbiamą tinklalapį, kurį gali patikėti jūsų vartotojai. Tiesa? Galbūt norėsite dukart patikrinti, ar tai. Jei jūsų svetainė veikia "Microsoft Internet Information Services"( IIS), jums gali tekti nustebinti. Kai jūsų vartotojai bando prisijungti prie jūsų serverio per saugų ryšį( SSL / TLS), galbūt jų nebus užtikrinta.

Teikiant geresnį šifravimo rinkinį yra nemokama ir gana lengva įdiegti. Tiesiog atlikite šį žingsnis po žingsnio vadovo, kad apsaugotumėte savo vartotojus ir savo serverį.Taip pat sužinosite, kaip išbandyti naudojamas paslaugas, kad sužinotumėte, kokie jie tikrai yra.

Kodėl jūsų Cipher Suites yra svarbūs

"Microsoft" IIS yra gana puikiai. Tai lengva nustatyti ir palaikyti. Ji turi patogią grafinę sąsają, kuri leidžia konfigūruoti vėją.Jis veikia "Windows".IIS iš tikrųjų daug nuveikia, bet iš tikrųjų blogėja, kai kalbama apie saugumo numatytus atvejus.

Štai kaip veikia saugus ryšys. Jūsų naršyklė inicijuoja saugų ryšį su svetaine. Tai lengviau atpažįsta URL, prasidedantis "HTTPS: //".Firefox siūlo šiek tiek užrakto piktogramą, kuri iliustruoja tašką toliau. Visi "Chrome", "Internet Explorer" ir "Safari" turi panašius metodus, leidžiančius jums žinoti, kad jūsų ryšys yra užkoduotas. Serveris, prie kurio prisijungiate prie atsakymų į savo naršyklę, su šifravimo parinkčių sąrašu, kad pasirinktumėte pagal labiausiai pageidaujamą mažiausiai. Jūsų naršyklė nusileidžia sąraše, kol ji suranda pasirinktą šifravimo parinktį, o mes išjungiame ir veikia. Kiti, kaip sakoma, yra matematika.(Niekas to sako ne.)

Tai yra mirtinas trūkumas, kad ne visos šifravimo galimybės yra vienodai sukurtos. Kai kurie iš jų naudoja labai gerus šifravimo algoritmus( ECDH), kiti yra mažiau geri( RSA), o kai kurie iš jų yra nesaugūs( DES).Naršyklė gali prisijungti prie serverio naudodamiesi bet kuria serverio parinktimi. Jei jūsų svetainėje siūlomos kai kurios ECDH parinktys, bet ir kai kurios DES galimybės, jūsų serveris prisijungs prie bet kurio. Paprastas šių blogų šifravimo parinkčių pasiūlymas daro potencialiai pažeidžiamą jūsų svetainę, jūsų serverį ir jūsų vartotojus. Deja, IIS pagal nutylėjimą pateikia keletą gana blogų parinkčių.Ne katastrofiškas, bet tikrai ne geras.

Kaip pamatyti, kur stovi

Prieš pradėdami, galbūt norėsite sužinoti, kur stovi jūsų svetainė.Laimei, "Qualys" geri žmonės visiems mums nemokamai teikia SSL laboratorijas. Jei eisi į https: //www.ssllabs.com/ssltest/, galite tiksliai pamatyti, kaip jūsų serveris reaguoja į HTTPS užklausas. Taip pat galite sužinoti, kaip dažnai naudojamos jūsų paslaugos.

Vienas įspėjimų čia. Tiesiog todėl, kad svetainė negauna "A" įvertinimo, nereiškia, kad žmonės, vykdantys juos, blogai dirba."SSL Labs" slankioja RC4 kaip silpnas šifravimo algoritmas, nors nėra jokių žinomų išpuolių prieš jį.Tiesa, tai yra mažiau atsparus sunkių jėgų bandymams nei kažkas panašaus į RSA ar ECDH, tačiau tai nebūtinai yra bloga. Svetainė gali pasiūlyti RC4 ryšio parinktį, kad nebūtų suderinama su tam tikromis naršyklėmis, taigi naudokite svetainių reitingus kaip gaires, o ne geležiniuose plakiruotuose saugumo deklaracijose ar jų nebuvimo.

Atnaujindami savo kodavimo kodą

Išnagrinėjome fone, dabar paliesime rankas."Windows" serverio parinkčių rinkinio atnaujinimas nebūtinai yra paprastas, bet tai nėra sunku.

Norėdami pradėti, paspauskite "Windows" klavišą + R, kad atidarytumėte dialogo langą "Vykdyti".Įveskite "gpedit.msc" ir spustelėkite "Gerai", kad paleistumėte "Group Policy Editor".Čia mes atliksime pakeitimus.

Kairėje pusėje išplėskite "Kompiuterio konfigūracija", "Administravimo šablonai", "Tinklas", tada spustelėkite SSL konfigūravimo nustatymus.

Dešinėje pusėje dukart spustelėkite SSL Cipher Suite Order.

Pagal numatytuosius nustatymus pasirenkamas mygtukas "Nesukonfigūruota".Norėdami redaguoti serverio "Cipher Suites", spustelėkite mygtuką "Įgalinta".

Lauke SSL Cipher Suites užpildomas tekstas, kai spustelėsite mygtuką.Jei norite sužinoti, kokį "Cipher" rinkinį šiuo metu siūlo jūsų serveris, nukopijuokite tekstą iš SSL Cipher rinkinių lauko ir įklijuokite jį į "Notepad".Tekstas bus vienoje ilgoje, tvirtoje eilutėje. Kiekviena šifravimo parinktis yra atskirta kableliu. Kiekvieną pasirinkimą įtraukus į savo eilutę bus lengviau skaityti sąrašą.

Jūs galite pereiti per sąrašą ir pridėti arba pašalinti į savo širdies turinį su vienu apribojimu;sąrašas negali būti didesnis kaip 1023 simboliai. Tai ypač erzina, nes šifravimo apartamentai jau seniai pavadino "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", todėl atsargiai pasirinkite. Rekomenduoju naudoti Steve Gibsono sudarytą sąrašą GRC.com svetainėje: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.

Kai sukursite savo sąrašą, turėsite jį formatuoti naudoti. Panašiai kaip ir pradiniame sąraše, jūsų naujasis turi būti viena nesudėtinga simbolių eilutė su kiekvienu šifru, atskirtu kableliu. Nukopijuokite formatuotą tekstą ir įklijuokite jį lauke SSL Cipher Suites ir spustelėkite Gerai. Galiausiai, norėdami atlikti pakeitimus, turite paleisti iš naujo.

Grįždami į savo serverį paleiskite "SSL Labs" ir išbandykite. Jei viskas vyko gerai, rezultatai turėtų suteikti jums reitingą.

Jei norėtumėte kažko šiek tiek daugiau matomą, galite įdiegti "IIS Crypto" Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Ši programa leis jums atlikti tuos pačius pakeitimus, kaip nurodyta pirmiau. Tai taip pat leidžia įjungti arba išjungti siurblius, atsižvelgiant į įvairius kriterijus, todėl nereikia rankiniu būdu pereiti prie jų.

Nesvarbu, kaip tai darote, atnaujinkite savo "Cipher Suites" yra paprastas būdas pagerinti jūsų ir jūsų galutinių vartotojų saugumą.