Windows Server Cipher Suite -ohjelmiston päivittäminen turvallisuuden parantamiseksi
Käytät kunnioitettavaa sivustoa, jonka käyttäjät voivat luottaa. Oikea? Voit ehkä tarkistaa sen. Jos sivustosi toimii Microsoft Internet Information Services -palvelussa (IIS), saatat olla yllätyksessä. Kun käyttäjät yrittävät muodostaa yhteyden palvelimeen turvallisen yhteyden kautta (SSL / TLS), et ehkä tarjoa heille turvallista vaihtoehtoa.
Paremman salausohjelman tarjoaminen on ilmainen ja melko helppo asentaa. Noudata tätä vaiheittaista ohjetta suojataaksesi käyttäjiäsi ja palvelinta. Opit myös testaamaan palvelut, joita käytät nähdäksesi, kuinka turvallisia ne todella ovat.
Miksi Cipher Suites ovat tärkeitä
Microsoftin IIS on melko suuri. Se on sekä helppo asentaa että ylläpitää. Siinä on käyttäjäystävällinen graafinen käyttöliittymä, joka tekee kokoonpanosta helppoa. Se toimii Windowsissa. IIS: llä on todella paljon se, mutta todellakin putoaa turvallisuuden oletusasetusten osalta.
Näin suojattu yhteys toimii. Selaimesi käynnistää turvallisen yhteyden sivustoon. Tämä on helpoimmin tunnistettavissa URL-osoitteella, joka alkaa ”HTTPS: //”. Firefox tarjoaa pienen lukkosymbolin, joka havainnollistaa pistettä edelleen. Kaikissa Chrome-, Internet Explorer- ja Safari-menetelmissä on samanlainen tapa kertoa, että yhteys on salattu. Palvelin, johon liität selaimesi vastaukset, luettelon salausvaihtoehdoista, joista voit valita suosituimmista vähiten. Selaimesi laskee luettelon, kunnes se löytää haluamansa salausvaihtoehdon, ja olemme pois käytöstä ja käynnissä. Loput, kuten sanotaan, on matematiikka. (Kukaan ei sano sitä.)
Kuoleva vika tässä on se, että kaikki salausvaihtoehdot eivät ole luotu tasapuolisesti. Jotkut käyttävät todella suuria salausalgoritmeja (ECDH), toiset ovat vähemmän suuria (RSA), ja jotkut ovat vain huonosti suositeltuja (DES). Selain voi muodostaa yhteyden palvelimeen käyttämällä jotakin palvelimen tarjoamista vaihtoehdoista. Jos sivustosi tarjoaa joitakin ECDH-vaihtoehtoja, mutta myös joitakin DES-asetuksia, palvelimesi muodostaa yhteyden. Näiden huonojen salausasetusten tarjoaminen yksinkertaisesti tekee sivustostasi, palvelimestasi ja käyttäjistäsi haavoittuvia. Valitettavasti IIS tarjoaa oletusarvoisesti melko huonoja vaihtoehtoja. Ei katastrofaalinen, mutta ei varmasti hyvä.
Miten nähdä missä seisot
Ennen kuin aloitat, saatat haluta tietää, missä sivustosi on. Onneksi Qualysin hyvät ihmiset antavat SSL Labsille meille kaikille ilmaiseksi. Jos siirryt osoitteeseen https://www.ssllabs.com/ssltest/, näet tarkasti, miten palvelimesi vastaa HTTPS-pyyntöihin. Voit myös nähdä, kuinka säännöllisesti käytettävät palvelut pinotaan ylös.
Yksi huomautus on täällä. Ainoastaan siksi, että sivusto ei saa A-luokkaa, ei tarkoita, että heitä käyttävät ihmiset tekevät huonoa työtä. SSL Labs slamsaa RC4: n heikoksi salausalgoritmiksi, vaikka sitä vastaan ei ole tunnettuja hyökkäyksiä. On totta, että se on vähemmän vastustuskykyinen brute force -yrityksille kuin jotain RSA: ta tai ECDH: ta, mutta se ei välttämättä ole huono. Sivusto voi tarjota RC4-liitäntävaihtoehdon välttämättömyydestä yhteensopivuus tiettyjen selaimien kanssa, joten käytä sivustojen sijoittelua ohjeena, ei rauta-verhoiltua turvallisuustodistusta tai sen puuttumista.
Cipher Suite -sovelluksen päivittäminen
Olemme peittäneet taustan, nyt saamme kädet likaiset. Windows-palvelimen tarjoamien vaihtoehtojen päivittäminen ei välttämättä ole yksinkertaista, mutta se ei varmasti ole myöskään vaikeaa.
Aloita painamalla Windows-näppäintä + R, jolloin esiin tulee "Suorita" -valintaikkuna. Kirjoita “gpedit.msc” ja napsauta ”OK” käynnistääksesi ryhmäkäytäntöeditorin. Täällä me teemme muutoksia.
Laajenna vasemmalla puolella Tietokoneasetukset, Hallintamallit, Verkko ja napsauta sitten SSL-määritysasetuksia.
Kaksoisnapsauta oikealla puolella SSL Cipher Suite -järjestystä.
Oletusarvon mukaan ”Not Configured” -painike on valittu. Napsauta Enabled-painiketta, jos haluat muokata palvelimesi Cipher Suites -ohjelmaa.
SSL Cipher Suites -kenttä täyttää tekstin, kun napsautat painiketta. Jos haluat nähdä, mitä Cipher Suites -palvelimesi tällä hetkellä tarjoaa, kopioi teksti SSL Cipher Suites -kentästä ja liitä se Muistioon. Teksti on yhdellä pitkällä, katkeamattomalla merkkijonolla. Kukin salausvaihtoehto on erotettu pilkulla. Jokaisen vaihtoehdon asettaminen omalle rivilleen helpottaa luettelon lukemista.
Voit mennä läpi luettelon ja lisätä tai poistaa sydämesi sisällöstä yhden rajoituksen; luettelo ei voi olla yli 1 023 merkkiä. Tämä on erityisen ärsyttävää, koska salauksen sviiteissä on pitkät nimet, kuten “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, joten valitse huolellisesti. Suosittelen, että käytät Steve Gibsonin laatimaa luetteloa GRC.com-sivustolla: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Kun olet kehittänyt luettelosi, sinun on alustettava se käytettäväksi. Alkuperäisen luettelon tavoin uuden täytyy olla yksi keskeytymätön merkkijono, jossa jokainen salaus on erotettu pilkulla. Kopioi muotoiltu teksti ja liitä se SSL Cipher Suites -kenttään ja valitse OK. Lopuksi, jotta muutos pysyy, sinun on käynnistettävä uudelleen.
Kun palvelimesi on käynnissä ja käynnissä, siirry SSL-laboratorioihin ja testaa se. Jos kaikki meni hyvin, tulosten pitäisi antaa sinulle A-luokitus.
Jos haluat jotain hieman enemmän visuaalista, voit asentaa Nartacin IIS-salauksen (https://www.nartac.com/Products/IISCrypto/Default.aspx). Tämän sovelluksen avulla voit tehdä samoja muutoksia kuin edellä. Sen avulla voit myös ottaa käyttöön tai poistaa käytöstä erilaisia kriteerejä, joten sinun ei tarvitse käydä niitä läpi manuaalisesti.
Riippumatta siitä, miten teet sen, Cipher Suitesin päivittäminen on helppo tapa parantaa turvallisuutta sinulle ja loppukäyttäjille.