12Sep

Jak zaktualizować pakiet szyfrowania systemu Windows Server w celu zwiększenia bezpieczeństwa

Prowadzisz szanowaną stronę internetową, której mogą ufać Twoi użytkownicy. Dobrze? Możesz to sprawdzić dwukrotnie. Jeśli Twoja witryna działa w Internetowych usługach informacyjnych firmy Microsoft( IIS), możesz być zaskoczony. Gdy użytkownicy próbują połączyć się z serwerem za pośrednictwem bezpiecznego połączenia( SSL / TLS), możesz nie zapewniać im bezpiecznej opcji.

Zapewnienie lepszego zestawu algorytmów szyfrowania jest bezpłatne i łatwe do skonfigurowania. Po prostu postępuj zgodnie ze wskazówkami, aby chronić swoich użytkowników i serwer. Dowiesz się również, jak przetestować usługi, których używasz, aby sprawdzić, jak naprawdę są bezpieczne.

Dlaczego twoje zestawy szyfrów są ważne

Microsoft's IIS jest całkiem niezły. Jest łatwy w konfiguracji i utrzymaniu. Ma przyjazny dla użytkownika interfejs graficzny, który sprawia, że ​​konfiguracja jest bardzo prosta. Działa w systemie Windows. Usługi IIS naprawdę mają wiele do zaoferowania, ale w rzeczywistości spadają, gdy chodzi o domyślne ustawienia zabezpieczeń.

Oto, jak działa bezpieczne połączenie. Twoja przeglądarka inicjuje bezpieczne połączenie z witryną.Najłatwiej jest to zidentyfikować za pomocą adresu URL zaczynającego się od "HTTPS: //".Firefox oferuje trochę ikony kłódki, aby zilustrować ten punkt dalej. Chrome, Internet Explorer i Safari mają podobne metody powiadamiania, że ​​twoje połączenie jest szyfrowane. Serwer, z którym łączysz się, odpowiada na przeglądarkę z listą opcji szyfrowania do wyboru w kolejności od najbardziej preferowanej do najmniejszej. Twoja przeglądarka przegląda listę, dopóki nie znajdzie preferowanej przez nas opcji szyfrowania, a my uruchomimy ją.Reszta, jak mówią, to matematyka.(Nikt tak nie mówi.)

Fatalną wadą jest to, że nie wszystkie opcje szyfrowania są tworzone jednakowo. Niektórzy używają naprawdę świetnych algorytmów szyfrowania( ECDH), inni są mniej świetni( RSA), a niektórzy są po prostu nieziszczeni( DES).Przeglądarka może łączyć się z serwerem przy użyciu dowolnej z opcji dostarczanych przez serwer. Jeśli twoja strona oferuje niektóre opcje ECDH, ale także niektóre opcje DES, twój serwer się połączy. Prosta czynność polegająca na oferowaniu tych złych opcji szyfrowania sprawia, że ​​witryna, serwer i użytkownicy są potencjalnie narażeni na ataki. Niestety, domyślnie usługi IIS udostępniają dość słabe opcje. Nie katastrofalne, ale zdecydowanie nie dobre.

Jak sprawdzić, gdzie stoisz

Zanim zaczniemy, możesz chcieć wiedzieć, gdzie stoi Twoja witryna. Na szczęście dobrzy ludzie w Qualys dostarczają nam bezpłatnie usługi SSL Labs. Jeśli przejdziesz do https: //www.ssllabs.com/ssltest/, możesz zobaczyć, w jaki sposób serwer odpowiada na żądania HTTPS.Możesz również sprawdzić, w jaki sposób usługi, z których korzystasz, regularnie się stosują.

Jedna uwaga tutaj. Tylko dlatego, że strona nie ma oceny A, nie oznacza, że ​​ludzie, którzy z niej korzystają, robią złą robotę.SSL Labs potępia RC4 jako słaby algorytm szyfrowania, mimo że nie są znane żadne ataki przeciwko niemu. To prawda, że ​​jest mniej odporny na próby brutalnej siły niż coś takiego jak RSA czy ECDH, ale niekoniecznie jest zły. Witryna może oferować opcję połączenia RC4 z konieczności zgodności z niektórymi przeglądarkami, więc użyj rankingu stron jako wskazówki, a nie żelaznej deklaracji bezpieczeństwa lub jej braku.

Aktualizowanie zestawu szyfrów

Omówiliśmy tło, a teraz zabierzmy ręce. Aktualizacja zestawu opcji, które udostępnia serwer Windows, nie musi być prosta, ale zdecydowanie nie jest trudna.

Aby rozpocząć, naciśnij Klawisz Windows + R, aby wywołać okno dialogowe "Uruchom".Wpisz "gpedit.msc" i kliknij "OK", aby uruchomić Edytor zasad grupy. Tutaj dokonamy zmian.

Po lewej stronie rozwiń pozycję Konfiguracja komputera, Szablony administracyjne, Sieć, a następnie kliknij Ustawienia konfiguracji SSL.

Po prawej stronie kliknij dwukrotnie polecenie SSL Cipher Suite Order.

Domyślnie wybrany jest przycisk "Nie skonfigurowano".Kliknij przycisk "Enabled", aby edytować pakiety szyfrowania na serwerze.

Po kliknięciu przycisku pole SSL Cipher Suites zostanie wypełnione tekstem. Jeśli chcesz sprawdzić, jakie pakiety szyfrowania obecnie oferuje twój serwer, skopiuj tekst z pola SSL Cipher Suites i wklej go do Notatnika. Tekst będzie w jednym długim, nieprzerwanym łańcuchu. Każda z opcji szyfrowania jest oddzielona przecinkiem. Umieszczenie każdej opcji w osobnej linii sprawi, że lista będzie łatwiejsza do odczytania.

Możesz przeglądać listę i dodawać lub usuwać do treści swojego serca jednym ograniczeniem;lista nie może być dłuższa niż 1023 znaki. Jest to szczególnie denerwujące, ponieważ zestawy algorytmów szyfrowania mają długie nazwy, takie jak "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", więc wybierz ostrożnie. Polecam używanie listy stworzonej przez Steve'a Gibsona na stronie GRC.com: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.

Po przejrzeniu listy, musisz ją sformatować do użycia. Podobnie jak w przypadku pierwotnej listy, twój nowy musi być jednym nieprzerwanym ciągiem znaków z każdym szyfrem oddzielonym przecinkiem. Skopiuj sformatowany tekst i wklej go do pola SSL Cipher Suites i kliknij OK.Na koniec, aby wprowadzić zmianę, musisz zrestartować komputer.

Po ponownym uruchomieniu serwera udaj się do laboratorium SSL i przetestuj go. Jeśli wszystko poszło dobrze, wyniki powinny dać ocenę A.

Jeśli chcesz coś bardziej wizualnego, możesz zainstalować IIS Crypto by Nartac( https: //www.nartac.com/Products/IISCrypto/ Default.aspx).Ta aplikacja pozwoli ci wprowadzić te same zmiany, co powyższe kroki. Umożliwia także włączanie i wyłączanie szyfrów w oparciu o różne kryteria, dzięki czemu nie trzeba ich ręcznie przeglądać.

Niezależnie od tego, jak to robisz, aktualizacja zestawów szyfrów jest prostym sposobem na poprawę bezpieczeństwa dla Ciebie i Twoich użytkowników końcowych.