Kā atjaunināt Windows Server Cipher Suite labāku drošību
Jūs izmantojat cienījamu vietni, kuru lietotāji var uzticēties. Pa labi? Iespējams, vēlēsities to vēlreiz pārbaudīt. Ja jūsu vietne darbojas, izmantojot Microsoft Internet Information Services (IIS), jūs varētu būt pārsteigums. Kad lietotāji mēģina izveidot savienojumu ar jūsu serveri drošā savienojumā (SSL / TLS), iespējams, jūs nedrīkstat nodrošināt drošu iespēju.
Labāka šifrēšanas komplekta nodrošināšana ir bezmaksas un diezgan viegli uzstādāma. Vienkārši izpildiet šo soli pa solim, lai aizsargātu savus lietotājus un serveri. Jūs arī uzzināsiet, kā pārbaudīt izmantotos pakalpojumus, lai redzētu, cik droši tie ir.
Kāpēc jūsu Cipher Suites ir svarīgi
Microsoft IIS ir diezgan liels. Tas ir gan viegli uzstādāms, gan uzturams. Tas ir lietotājam draudzīgs grafiskais interfeiss, kas padara konfigurāciju vieglu. Tas darbojas sistēmā Windows. IIS tiešām ir daudz par to, bet patiešām nokrīt, kad runa ir par drošības noklusējumiem.
Lūk, kā darbojas drošs savienojums. Jūsu pārlūkprogramma sāk drošu savienojumu ar vietni. Tas ir visvieglāk identificējams ar URL, kas sākas ar “HTTPS: //”. Firefox piedāvā nelielu bloķēšanas ikonu, lai ilustrētu šo punktu. Chrome, Internet Explorer un Safari visiem ir līdzīgas metodes, kā jūs zināt, ka jūsu savienojums ir šifrēts. Serveris, ar kuru izveidojat savienojumu ar jūsu pārlūkprogrammas atbildēm, ar šifrēšanas opciju sarakstu, no kuriem izvēlēties, no visatbilstošākajiem vismazāk. Jūsu pārlūkprogramma iet uz leju sarakstā, līdz tā atrod sev vēlamo šifrēšanas iespēju un mēs esam izslēgti un darbojas. Pārējie, kā saka, ir matemātika. (Neviens to nesaka.)
Fatālā kļūda ir tāda, ka ne visas šifrēšanas iespējas tiek izveidotas vienādi. Daži izmanto patiešām lielus šifrēšanas algoritmus (ECDH), citi ir mazāk lieli (RSA), un daži ir tikai slikti (DES). Pārlūks var izveidot savienojumu ar serveri, izmantojot kādu no iespējām, ko nodrošina serveris. Ja jūsu vietne piedāvā dažas ECDH opcijas, bet arī dažas DES opcijas, jūsu serveris arī izveidos savienojumu. Vienkāršs šo slikto šifrēšanas iespēju piedāvājums padara jūsu vietni, serveri un jūsu lietotājus potenciāli neaizsargātus. Diemžēl pēc noklusējuma IIS piedāvā dažas diezgan sliktas iespējas. Ne katastrofāli, bet noteikti nav labi.
Kā redzēt, kur stāvēt
Pirms mēs sākam, jūs varat zināt, kur atrodas jūsu vietne. Par laimi labie ļaudis Qualys sniedz SSL Labs visiem mums bez maksas. Ja dodaties uz https://www.ssllabs.com/ssltest/, varat redzēt, kā serveris reaģē uz HTTPS pieprasījumiem. Varat arī redzēt, kā regulāri tiek izmantoti pakalpojumi.
Viens no tiem ir piesardzīgs. Tikai tāpēc, ka vietne nesaņem A reitingu, tas nenozīmē, ka cilvēki, kas tos vada, dara sliktu darbu. SSL Labs slams RC4 kā vāju šifrēšanas algoritmu, lai gan nav zināmu uzbrukumu. Tiesa, tas ir mazāk izturīgs pret brutālu spēku mēģinājumiem nekā kaut kas līdzīgs RSA vai ECDH, bet tas ne vienmēr ir slikti. Vietne var piedāvāt RC4 savienojuma iespēju no nepieciešamības pēc saderības ar noteiktām pārlūkprogrammām, tāpēc izmantojiet vietņu klasifikāciju kā vadlīniju, nevis dzelzs pārklājumu drošības deklarāciju vai tās trūkumu..
Jūsu Cipher Suite atjaunināšana
Mēs esam aptvēruši fonu, tagad pieņemsim, ka mūsu rokas netīras. Iespēja atjaunināšana, ko nodrošina jūsu Windows serveris, ne vienmēr ir vienkārša, bet tas noteikti nav grūti.
Lai sāktu, nospiediet Windows taustiņu + R, lai atvērtu dialoglodziņu “Run”. Ierakstiet “gpedit.msc” un noklikšķiniet uz “OK”, lai palaistu grupas politikas redaktoru. Šeit mēs izdarīsim izmaiņas.
Kreisajā pusē izvērsiet datora konfigurāciju, administratīvās veidnes, tīkls un pēc tam noklikšķiniet uz SSL konfigurācijas iestatījumiem.
Labajā pusē veiciet dubultklikšķi uz SSL Cipher Suite pasūtījuma.
Pēc noklusējuma ir izvēlēta poga “Not Configured”. Noklikšķiniet uz pogas “Iespējots”, lai rediģētu servera Cipher Suites.
Laukā SSL Cipher Suites tiks aizpildīts teksts, kad noklikšķināsiet uz pogas. Ja vēlaties redzēt, ko Cipher Suites jūsu serveris pašlaik piedāvā, kopējiet tekstu no lauka SSL Cipher Suites un ielīmējiet to Notepad. Teksts būs vienā garā, nepārtrauktā virknē. Katru šifrēšanas iespēju atdala ar komatu. Katras opcijas ievietošana savā rindā atvieglos saraksta lasīšanu.
Jūs varat iet cauri sarakstam un pievienot vai noņemt savu sirds saturu ar vienu ierobežojumu; saraksts nevar būt lielāks par 1023 rakstzīmēm. Tas ir īpaši kaitinoši, jo šifrēšanas komplektiem ir garš vārds, piemēram, “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, tāpēc izvēlieties rūpīgi. Es iesaku izmantot Steve Gibson izveidoto sarakstu GRC.com vietnē: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kad esat sarakstījis savu sarakstu, tas ir jāformatē lietošanai. Tāpat kā sākotnējam sarakstam, jūsu jaunajam jābūt vienai nepārtrauktai rakstzīmju virknei ar katru ciparu, kas atdalīta ar komatu. Kopējiet formatēto tekstu un ielīmējiet to laukā SSL Cipher Suites un noklikšķiniet uz Labi. Visbeidzot, lai veiktu izmaiņas stick, jums ir atsāknēšana.
Kad jūsu serveris darbojas uz augšu un darbojas, dodieties uz SSL Labs un pārbaudiet to. Ja viss noritēja labi, rezultāti sniedz jums A vērtējumu.
Ja vēlaties kaut ko nedaudz vairāk vizuālu, jūs varat instalēt NISCC IIS Crypto (https://www.nartac.com/Products/IISCrypto/Default.aspx). Šī lietojumprogramma ļaus jums veikt tādas pašas izmaiņas kā iepriekš aprakstītās darbības. Tas arī ļauj iespējot vai atspējot šifrētājus, kas balstīti uz dažādiem kritērijiem, tāpēc jums nav jāiet cauri tiem manuāli.
Neatkarīgi no tā, kā jūs to darāt, Cipher Suites atjaunināšana ir vienkāršs veids, kā uzlabot jūsu un jūsu gala lietotāju drošību.
