Kā atjaunināt Windows Server Cipher Suite labāku drošību

Video: Kā atjaunināt Windows Server Cipher Suite labāku drošību

Video: BTT SKR2 - Extruder and cooling fan automation - YouTube 2024, Aprīlis

2024 Autors: Geoffrey Carr | [email protected]. Pēdējoreiz modificēts: 2023-12-17 10:58

Jūs izmantojat cienījamu vietni, kurā lietotāji var uzticēties. Pa labi? Jūs varētu vēlēties dubult pārbaudīt, vai. Ja jūsu vietne darbojas Microsoft Internet Information Services (IIS), jums varētu būt pārsteigums. Kad jūsu lietotāji mēģina izveidot savienojumu ar savu serveri, izmantojot drošu savienojumu (SSL / TLS), iespējams, ka viņiem netiks nodrošināta droša iespēja.

Labākas šifrēšanas komplekta nodrošināšana ir bezmaksas un viegli iestatāma. Vienkārši izpildiet šo soli pa solim, lai aizsargātu savus lietotājus un savu serveri. Jūs arī uzzināsiet, kā pārbaudīt pakalpojumus, kurus izmantojat, lai redzētu, cik droši tie patiešām ir.

Kāpēc jūsu Cipher Suites ir svarīgi

Microsoft IIS ir diezgan lieliska. Tas ir viegli uzstādīt un uzturēt. Tam ir lietotājam draudzīgs grafiskais interfeiss, kas konfigurē putekļus. Tas darbojas operētājsistēmā Windows. IIS patiešām daudz dara to, bet patiešām samazināsies, kad runa ir par drošības defektiem.

Tālāk ir norādīts, kā darbojas drošs savienojums. Jūsu pārlūkprogramma sāk drošu savienojumu ar vietni. To vislabāk identificē URL, kas sākas ar "HTTPS: //". Firefox piedāvā mazu slēdzenes ikonu, lai ilustrētu punktu tālāk. Visās pārlūkprogrammās Chrome, Internet Explorer un Safari ir līdzīgas metodes, kas ļauj jums zināt, ka jūsu savienojums ir šifrēts. Serveris, kuru savienojat ar atbildēm uz jūsu pārlūkprogrammu, ar šifrēšanas opciju sarakstu, no kuriem izvēlēties, vislabāk. Jūsu pārlūkprogramma iet uz leju sarakstā, līdz tā atrod šifrēšanas opciju, kas viņai patīk, un mēs esam izslēgti un darbojas. Pārējie, kā saka, ir matemātikā. (Neviens to nesaka.)

Nāves cēlonis ir tas, ka ne visas šifrēšanas iespējas tiek radītas vienādi. Dažās valstīs tiek izmantoti patiešām lieliski šifrēšanas algoritmi (ECDH), citi ir mazāk lieli (RSA), un daži no tiem ir vienkārši ieteicami (DES). Pārlūkprogramma var izveidot savienojumu ar serveri, izmantojot kādu no servera iespējām. Ja jūsu vietnē tiek piedāvātas dažas ECDH opcijas, kā arī daži DES varianti, jūsu serveris izveidos savienojumu. Vienkāršais šo slikto šifrēšanas iespēju piedāvājums padara jūsu vietni, jūsu serveri un jūsu lietotājus potenciāli neaizsargātu. Diemžēl pēc noklusējuma IIS piedāvā dažas diezgan sliktas iespējas. Nav katastrofāla, bet noteikti nav laba.

Kā redzēt, kur stāvējat

Pirms sākat darbu, jūs varētu vēlēties uzzināt, kur atrodas jūsu vietne. Par laimi, Goodyears Qualys nodrošina SSL laboratorijas mums visiem bez maksas. Ja jūs apmeklējat https://www.ssllabs.com/ssltest/, varat redzēt, kā tieši jūsu serveris reaģē uz HTTPS pieprasījumiem. Varat arī redzēt, kā regulāri tiek apkopoti pakalpojumi.

Viena piezīme par piesardzību šeit. Tikai tādēļ, ka vietne nesaņem A reitingu, nenozīmē, ka cilvēki, kuri tos izmanto, nedarbojas pareizi. SSL Labs vājina šifrēšanas algoritmu RC4, lai gan nav zināmu uzbrukumu pret to. True, tas ir mazāk izturīgs pret brutālu spēku mēģinājumiem nekā kaut kas līdzīgs RSA vai ECDH, bet tas nav obligāti slikti. Vietne var piedāvāt RC4 savienojuma iespēju, kas nav saistīta ar saderību ar dažām pārlūkprogrammām, tādēļ izmantojiet vietņu klasifikāciju kā vadlīnijas, nevis dzelzs lakatu drošības deklarāciju vai tās neesamību.

Jūsu Cipher Suite papildināšana

Mēs esam noklājuši fonu, tagad mēs padarīsim mūsu rokas netīras. Windows servera piedāvāto opciju komplekta atjaunināšana ne vienmēr ir vienkārša, taču noteikti tā nav grūti.

Lai sāktu, nospiediet Windows taustiņu + R, lai atvērtu dialoglodziņu "Palaist". Ievadiet "gpedit.msc" un noklikšķiniet uz "Labi", lai palaistu grupas politikas redaktoru. Šeit mēs veiksim izmaiņas.

Kreisajā pusē izvērsiet datora konfigurāciju, administratīvās veidnes, tīklu un pēc tam noklikšķiniet uz SSL konfigurācijas iestatījumi.

Labajā pusē veiciet dubultklikšķi uz SSL Cipher Suite pasūtījuma.

Pēc noklusējuma ir izvēlēta poga "Nav konfigurēta". Noklikšķiniet uz pogas Iespējots, lai rediģētu servera Cipher Suites.

Laukā SSL Cipher Suites aizpildīs tekstu, tiklīdz noklikšķināsiet uz pogas. Ja vēlaties redzēt, ko jūsu serveris piedāvā pašlaik, nospiediet tekstu no lauka SSL Cipher Suites un ielīmējiet to Notepad. Teksts būs vienā garā un nepārtrauktajā virknē. Katra šifrēšanas opcija ir atdalīta ar komatu. Izmantojot katru opciju savā rindā, saraksts būs vieglāk lasāms.

Jūs varat iet caur sarakstu un pievienot vai noņemt jūsu sirdij saturu ar vienu ierobežojumu; saraksts nedrīkst pārsniegt 1023 rakstzīmes. Tas ir īpaši satraucoši, jo šifra komplektiem ir seni nosaukumi, piemēram, "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", tāpēc rūpīgi izvēlieties. Es ieteiktu izmantot Steve Gibson izveidoto sarakstu GRC.com vietnē: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Kad esat kārtoja savu sarakstu, jums ir jāformatē tā izmantošanai. Tāpat kā oriģinālajā sarakstā, jūsu jaunajam ir jābūt vienai nepārtrauktai rakstzīmju virknē ar katru šifru, kas atdalīti ar komatu. Kopējiet formatētu tekstu un ielīmējiet to SSL Cipher Suite laukā un noklikšķiniet uz Labi. Visbeidzot, lai veiktu izmaiņas stick, jums ir jāpārstartē.

Kad serveris ir izveidots un darbojas, pārejiet pie SSL Labs un izmēģiniet to. Ja viss notiks labi, rezultātiem vajadzētu dot jums reitingu.