12Sep

Windows Server Şifreleme Paketi'ni Daha İyi Güvenlik için Güncelleştirme

Kullanıcılarınızın güvenebileceği saygın bir web sitesini işletiyorsunuz. Sağ?Bunu iki kez kontrol etmek isteyebilirsiniz. Siteniz Microsoft Internet Information Services( IIS) üzerinde çalışıyorsa, bir sürpriz olabilir. Kullanıcılarınız sunucunuza güvenli bir bağlantı( SSL / TLS) üzerinden bağlanmayı denediğinde onlara güvenli bir seçenek sunmuyorsunuzdur.

Daha iyi şifre seti sağlamak ücretsiz ve kurulumu oldukça kolay. Kullanıcılarınızı ve sunucunuzu korumak için bu adımı adım adım izleyin. Ayrıca, gerçekte ne kadar güvenli olduklarını görmek için kullandığınız hizmetleri test etmeyi de öğreneceksiniz.

Şifreleme Setleriniz Önemli Neden

Microsoft'un IIS'i oldukça harika. Hem kurulumu hem de bakımı kolaydır. Yapılandırmayı kolaylaştıran, kullanıcı dostu bir grafik arayüzü vardır. Windows'da çalışır. IIS'nin gerçekten çok şey yapması gerekiyor, ancak güvenlik varsayılanlarına gelince gerçekten düz düşüyor.

İşte güvenli bir bağlantı nasıl işler. Tarayıcınız bir siteyle güvenli bir bağlantı kuruyor. Bu, "HTTPS: //" ile başlayan bir URL ile kolayca tanımlanır. Firefox daha fazla noktayı göstermek için küçük bir kilit simgesi sunuyor. Chrome, Internet Explorer ve Safari'nin tümünde, bağlantınızın şifrelenmiş olduğunu bildiren benzer yöntemler bulunur. Bağlanmakta olduğunuz sunucu tarayıcınıza, en çok tercih edilen en azından en çok tercih sırasına göre seçilecek bir şifreleme seçenekleri listesiyle yanıt verir. Tarayıcınız sevdiği bir şifreleme seçeneği bulana kadar listeden iniyor ve biz de çalışmıyoruz. Dedikleri gibi gerisi, matematiktir.(Hiç kimse bunu söylemiyor.)

Bunun ölümcül kusuruyla, tüm şifreleme seçeneklerinin eşit olarak oluşturulmadığı.Bazıları gerçekten harika şifreleme algoritmaları( ECDH) kullanıyor, bazıları daha az büyük( RSA) ve bazıları da sadece kötü tavsiye( DES).Bir tarayıcı, sunucu tarafından sağlanan seçeneklerden herhangi birini kullanarak bir sunucuya bağlanabilir. Siteniz bazı ECDH seçenekleri sunarken aynı zamanda bazı DES seçenekleri sunuyorsa, sunucunuz ya da bağlantıda olacaktır. Bu kötü şifreleme seçeneklerini sunmanın basit bir yolu, sitenizi, sunucunuzu ve kullanıcılarınızı potansiyel olarak savunmasız duruma düşürür. Ne yazık ki, varsayılan olarak, IIS oldukça zayıf seçenekler sunmaktadır. Felaket değil, ama kesinlikle iyi değil.

Nerede durduğunuzu nasıl görebilirsiniz

Başlamadan önce, sitenizin nerede durduğunu bilmek isteyebilirsiniz. Neyse ki Qualys'deki iyi insanlar, hepimize ücretsiz SSL Labs sağlıyor. Https: //www.ssllabs.com/ssltest/ adresine giderseniz, sunucunuzun HTTPS isteklerine tam olarak nasıl tepki gösterdiğini görebilirsiniz. Ayrıca, düzenli olarak kullandığınız servislerin nasıl biriktiklerini görebilirsiniz.

Dikkatli olun bir not. Bir sitenin A derecelendirmesini almadığı, onları çalıştıran kişilerin kötü bir iş çıkardığı anlamına gelmez. SSL Labs RC4'ü bilinen saldırılara rağmen zayıf şifreleme algoritması olarak kullanıyor. Doğrudur, kaba kuvvet girişimlerine RSA veya ECDH gibi bir şeyden daha az dirençlidir, ancak mutlaka kötü değildir. Bir site, bazı tarayıcılarla uyumluluk açısından bir RC4 bağlantı seçeneği sunabilir; bu nedenle sitelerin sıralamalarını bir kılavuz olarak kullanın; güvenlik gerekçesiyle değil.

Şifreleme Setinizi Güncelleme

Arka planı kapattık, şimdi ellerimizi kirletelim. Windows sunucunuzun sağladığı seçeneklerin güncellenmesi mutlaka basit değildir; ancak kesinlikle zor da değildir.

Başlamak için "Çalıştır" iletişim kutusunu getirmek için Windows Tuşu + R tuşlarına basın. Grup İlkesi Düzenleyicisini başlatmak için "gpedit.msc" yazın ve "Tamam" ı tıklayın. Değişikliklerimizi burada yapacağız.

Sol tarafta, Bilgisayar Yapılandırması, Yönetim Şablonları, Ağ'ı genişletin ve sonra SSL Yapılandırma Ayarları'nı tıklatın.

Sağ tarafta SSL Şifreleme Sütyeni üzerine çift tıklayın.

Varsayılan olarak, "Yapılandırılmadı" düğmesi seçilir. Sunucunuzun Şifreleme Seçeneklerini düzenlemek için "Etkin" düğmesine tıklayın.

Bu düğmeyi tıkladığınızda SSL Şifreleme Alanı alanı metin ile doldurulacaktır. Sunucunuzun hangi Cipher Suites'i sunduğunu görmek istiyorsanız, metni SSL Cipher Suites alanından kopyalayıp Not Defteri'ne yapıştırın. Metin, uzun, kesintisiz bir dizede olacak.Şifreleme seçeneklerinin her biri virgül ile ayrılır. Her seçeneği kendi satırına koymak, listeyi daha kolay okunur hale getirecektir.

Listeyi inceleyebilir ve kalbinizin içeriğine bir kısıtlama ekleyebilir veya kaldırabilirsiniz;liste en fazla 1,023 karakterden oluşabilir.Şifreli paketlerin "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384" gibi uzun isimleri olması nedeniyle bu özellikle rahatsız edicidir, bu nedenle dikkatli seçin. GRC.com'da Steve Gibson tarafından bir araya getirilen listeyi kullanmanızı öneriyorum: https: //www.grc.com/miscfiles/ SChannel_Cipher_Suites.txt.

Listenizi küratörlüğünü yaptıktan sonra, kullanmak üzere biçimlendirmeniz gerekir. Orijinal listede olduğu gibi, yeni şifreniz her şifreniz virgülle ayrılmış kesintisiz bir dizi olmalıdır. Biçimlendirilmiş metninizi kopyalayın ve SSL Cipher Suites alanına yapıştırın ve Tamam'ı tıklayın. Sonunda, değişikliği sopa haline getirmek için, yeniden başlatmanız gerekiyor.

Sunucunuz yedeklenirken ve çalışıyorken, SSL Labs'a geçin ve test edin. Her şey yolunda giderse, sonuçlar size A derecesi vermelidir.

Biraz daha görsel bir şey istiyorsanız, IIS Kripto'yu Nartac'a( https: //www.nartac.com/Products/IISCrypto/ Default.aspx) yükleyebilirsiniz. Bu uygulama, yukarıdaki adımlarla aynı değişiklikleri yapmanıza izin verecektir. Aynı zamanda, çeşitli ölçütlere dayalı olarak şifreleri etkinleştirmenizi veya devre dışı bırakmanızı sağlar; böylece bunları manuel olarak geçmek zorunda kalmazsınız.

Nasıl yaparsanız yapın, Cipher Suites'i güncellemek, sizin ve son kullanıcılarınızın güvenliğini artırmanın kolay bir yoludur.