Windows Server Cipher Suite'i uuendamine parema turvalisuse tagamiseks
Sa käivitad auväärse veebisaidi, mida kasutajad saavad usaldada. Kas see on? Võib-olla soovite selle topelt kontrollida. Kui teie sait töötab Microsoft Internet Information Services'il (IIS), võite olla üllatunud. Kui teie kasutajad üritavad serveriga ühenduse loomiseks turvalise ühenduse kaudu (SSL / TLS), siis ei pruugi te neile turvalist valikut pakkuda.
Parema šifreerimissüsteemi pakkumine on tasuta ja üsna lihtne seadistada. Lihtsalt järgige seda samm-sammult juhist, et kaitsta oma kasutajaid ja serverit. Samuti saate teada, kuidas testida teenuseid, mida kasutate, et näha, kui turvaliselt nad tegelikult on.
Miks teie Cipher Suites on olulised
Microsofti IIS on päris suur. See on nii lihtne seadistada kui ka hooldada. See on kasutajasõbralik graafiline kasutajaliides, mis muudab konfiguratsiooni imeliseks. See töötab Windowsis. IIS-il on tõesti palju seda, kuid tõesti langeb, kui tegemist on turvalisuse vaikeväärtustega.
Siin on turvalise ühenduse toimimine. Teie brauser algatab turvalise ühenduse saidiga. Seda on kõige lihtsam tuvastada URL-iga, mis algab “HTTPS: //”. Firefox pakub pisut lukk ikooni, et illustreerida punkti veelgi. Chrome'il, Internet Exploreril ja Safaril on kõik sarnased meetodid, mis võimaldavad teil teada, et teie ühendus on krüpteeritud. Server, millega ühendate oma brauseri vastused, koos krüpteerimisvalikute nimekirjaga, mille hulgast valida kõige eelistatavamalt. Teie brauser langeb loendisse seni, kuni ta leiab talle sobiva krüpteerimisvaliku ja me oleme välja lülitatud ja töötab. Ülejäänud, nagu nad ütlevad, on matemaatika. (Keegi seda ei ütle.)
Surmav viga selles on see, et mitte kõik krüpteerimisvalikud on võrdselt loodud. Mõned kasutavad tõesti suuri krüpteerimisalgoritme (ECDH), teised on vähem suured (RSA) ja mõned neist on lihtsalt halvad (DES). Brauser saab serveriga ühendust võtta, kasutades mõnda serveri pakutavat valikut. Kui teie sait pakub mõningaid ECDH-valikuid, kuid ka mõned DES-suvandid, ühendab teie server ka teie. Nende halbade krüpteerimisvõimaluste pakkumine lihtsustab teie saidi, serveri ja kasutajate haavatavust. Kahjuks annab IIS vaikimisi mõned päris halvad valikud. Mitte katastroofiline, kuid kindlasti mitte hea.
Kuidas näha, kus sa seisad
Enne kui alustate, võiksite teada, kus teie sait asub. Õnneks pakuvad Qualys'e head inimesed SSL Labsi meile kõigile tasuta. Kui avate https://www.ssllabs.com/ssltest/, näete täpselt, kuidas teie server HTTPS-i päringutele vastab. Samuti saate näha, kuidas korrapäraselt teenuseid kasutate.
Üks märkus on siin. Lihtsalt sellepärast, et sait ei saa A-reitingut, ei tähenda see, et neid kasutavad inimesed teevad halba tööd. SSL Labs slams RC4 nõrga krüpteerimisalgoritmina, kuigi selle vastu ei ole teada rünnakuid. Tõsi, see on vähem vastupanu brute force katsetele kui midagi sellist nagu RSA või ECDH, kuid see ei pruugi olla halb. Sait võib pakkuda RC4 ühendusvõimalust teatud brauseritega ühilduvuse vajalikkuse tõttu, nii et kasutage saitide pingeread suunisena, mitte rauast plakeeritud turvalisuse deklaratsioon või selle puudumine.
Cipher Suite'i värskendamine
Oleme tausta taustal katnud, nüüd saame oma käed määrdunud. Valikuvõimaluste uuendamine, mida teie Windowsi server pakub, ei ole tingimata lihtne, kuid kindlasti ei ole see ka raske.
Alustamiseks vajuta Windowsi klahvile + R, et avada dialoogiaken „Run”. Tippige „gpedit.msc” ja klõpsake grupipoliitika redaktori käivitamiseks „OK“. Siin me teeme oma muudatused.
Laiendage vasakul küljel arvuti konfiguratsiooni, haldusmalleid, võrku ja seejärel klõpsake SSL-i konfiguratsiooniseadeid.
Paremal pool topeltklõpsake SSL Cipher Suite Order'il.
Vaikimisi on valitud “Not Configured” nupp. Serveri Cipher Suites redigeerimiseks klõpsake nupul „Enabled”.
Kui klõpsate nupule, täidab väli SSL Cipher Suites. Kui soovite näha, mida Cipher Suites teie server praegu pakub, kopeerige tekst SSL Cipher Suites väljast ja kleepige see Notepadisse. Tekst on ühes pikkas, katkematu struktuuris. Iga krüpteerimisvalik on eraldatud komaga. Iga valiku paigutamine oma reale muudab loendi loetavamaks.
Saate loendi läbi vaadata ja lisada või eemaldada oma südame sisule ühe piiranguga; loend ei tohi olla üle 1023 tähemärgi. See on eriti tüütu, sest šifri sviitidel on pikad nimed nagu “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, nii et vali hoolikalt. Ma soovitan kasutada Steve Gibsoni koostatud nimekirja GRC.com-is: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kui olete oma loendi kuratiivseks muutnud, peate selle vormindama kasutamiseks. Sarnaselt algsele loetelule peab teie uus olema üks katkematu sümbol, millest igaüks on eraldatud komaga. Kopeerige vormindatud tekst ja kleepige see väljale SSL Cipher Suites ja klõpsake OK. Lõpuks, et muuta vahetusraami, peate taaskäivitama.
Kui teie server on varundatud ja käivitatud, proovige SSL Labs'i ja proovige seda. Kui kõik läks hästi, peaksid tulemused andma A-reitingu.
Kui soovite midagi veidi visuaalsemat, saate IIS Crypto installida Nartaci poolt (https://www.nartac.com/Products/IISCrypto/Default.aspx). See rakendus võimaldab teil teha samu muudatusi nagu ülaltoodud sammud. Samuti võimaldab see lubada või keelata mitmesugustel kriteeriumidel põhinevaid šifreid, nii et sa ei pea neid käsitsi läbi minema.
Olenemata sellest, kuidas seda teete, on Cipher Suites'i uuendamine lihtne viis teie ja teie lõppkasutajate turvalisuse parandamiseks.