Kako ažurirati Windows Server Cipher Suite za bolju sigurnost
Pokrenuli ste respektabilnu web-lokaciju koju korisnici mogu imati povjerenja. Pravo? Možda ćete to htjeti provjeriti. Ako se vaša web-lokacija izvodi na Microsoftovim internetskim informacijskim uslugama (IIS), možda ćete se iznenaditi. Kada se korisnici pokušaju povezati s poslužiteljem putem sigurne veze (SSL / TLS), možda im ne pružite sigurnu opciju.
Pružanje boljeg paketa za šifre je besplatno i prilično jednostavno za postavljanje. Samo slijedite ovaj korak po korak vodič za zaštitu svojih korisnika i poslužitelja. Također ćete naučiti kako testirati usluge koje koristite da biste vidjeli koliko su oni uistinu sigurni.
Zašto su vaši sufiksni kodovi važni
Microsoftov IIS je prilično velik. Jednostavno je postaviti i održavati. To je user friendly grafičko sučelje koje čini konfiguraciju povjetarac. Ona radi u sustavu Windows. IIS stvarno ima puno toga za to, ali stvarno pada kada je riječ o sigurnosnim postavkama.
Evo kako funkcionira sigurna veza. Vaš preglednik pokreće sigurnu vezu s web-lokacijom. To se najlakše prepoznaje putem URL-a koji počinje s "HTTPS: //". Firefox nudi malu ikonu brave kako bi ilustrirao točku dalje. Chrome, Internet Explorer i Safari svi imaju slične metode da vam javljaju da je vaša veza šifrirana. Poslužitelj na koji se povezujete odgovara vašem pregledniku s popisom opcija za šifriranje koje možete odabrati prema redoslijedu koji se najviše preferira. Vaš se preglednik spušta na popis sve dok ne pronađe opciju šifriranja koju voli, a mi radimo. Ostalo, kako kažu, je matematika. (To nitko ne kaže.)
Fatalna greška u tome je da se sve opcije šifriranja ne stvaraju jednako. Neki koriste stvarno velike algoritme za šifriranje (ECDH), drugi su manje dobri (RSA), a neki su samo loši savjetnici (DES). Preglednik se može povezati s poslužiteljem koristeći bilo koju od mogućnosti koje poslužitelj pruža. Ako vaša web-lokacija nudi neke ECDH opcije, ali i neke DES opcije, vaš će se poslužitelj povezati. Jednostavan čin pružanja ovih loših opcija šifriranja čini vašu web-lokaciju, poslužitelj i korisnike potencijalno ranjivima. Nažalost, IIS pruža neke prilično loše opcije. Nije katastrofalno, ali definitivno nije dobro.
Kako vidjeti gdje stojite
Prije nego počnemo, možda ćete htjeti znati gdje stoji vaša web-lokacija. Srećom, dobri ljudi u Qualysu pružaju svima nama SSL Labs besplatno. Ako odete na https://www.ssllabs.com/ssltest/, možete vidjeti točno kako vaš poslužitelj reagira na HTTPS zahtjeve. Također možete vidjeti kako se usluge koje koristite redovito slažu.
Jedan oprez ovdje. Samo zato što web-lokacija ne dobiva ocjenu A ne znači da ljudi koji ih vode ne rade dobro. SSL Labs odbija RC4 kao slab algoritam šifriranja iako nema poznatih napada na njega. Istina, to je manje otporno na pokušaje grube sile nego nešto poput RSA ili ECDH, ali to nije nužno loše. Web-lokacija može ponuditi RC4 mogućnost spajanja iz potrebe za kompatibilnošću s određenim preglednicima pa koristite rangiranje web-lokacija kao smjernicu, a ne kao izjavu o sigurnosti ili nedostatku željeza..
Ažuriranje paketa Cipher Suite
Pokrili smo pozadinu, a sada ćemo se uprljati. Ažuriranje paketa opcija koje pruža vaš Windows poslužitelj nije nužno jednostavno, ali definitivno nije teško.
Za početak, pritisnite tipku Windows + R da biste otvorili dijaloški okvir "Run". Upišite “gpedit.msc” i kliknite “OK” da biste pokrenuli uređivač pravila grupe. Ovdje ćemo napraviti naše promjene.
Na lijevoj strani proširite Konfiguracija računala, Administrativni predlošci, Mreža, a zatim kliknite Postavke konfiguracije SSL-a.
S desne strane, dvaput kliknite na SSL Cipher Suite Order.
Prema zadanim postavkama, odabran je gumb “Not Configured” (Nije konfigurirano). Kliknite na "Omogućeno" gumb za uređivanje poslužitelja Cipher Suites.
Polje SSL Cipher Suites ispunit će se tekstom nakon što kliknete gumb. Ako želite vidjeti što Cipher Suites vaš poslužitelj trenutno nudi, kopirajte tekst iz polja SSL Cipher Suites i zalijepite ga u Notepad. Tekst će biti u jednom dugom, neprekinutom nizu. Svaka od opcija šifriranja odvojena je zarezom. Postavljanje svake opcije na vlastitu liniju olakšat će čitanje popisa.
Možete pregledavati popis i dodavati ili uklanjati sadržaj vašeg srca jednim ograničenjem; popis ne može imati više od 1023 znakova. To je osobito neugodno jer garniture šifri imaju duga imena kao što su "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", stoga pažljivo birajte. Preporučujem korištenje popisa koji je sastavio Steve Gibson na adresi GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Nakon što ste uredili popis, morate ga formatirati za upotrebu. Kao i izvorni popis, vaša nova mora biti jedan neprekinuti niz znakova sa svakom šifrom odvojenu zarezom. Kopirajte formatirani tekst i zalijepite ga u polje SSL Cipher Suites i kliknite U redu. Konačno, da bi napravili promjenu, morate ponovno pokrenuti sustav.
Kada se poslužitelj vrati i pokrene, pređite na SSL Labs i testirajte ga. Ako je sve prošlo dobro, rezultati bi trebali dati ocjenu A.
Ako želite nešto malo vizualnije, možete instalirati IIS Crypto by Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ova će vam aplikacija omogućiti da napravite iste promjene kao i gore navedene korake. Također vam omogućuje da omogućite ili onemogućite šifre na temelju različitih kriterija, tako da ne morate ručno prolaziti kroz njih.
Bez obzira na to kako to radite, ažuriranje Cipher Suites je jednostavan način za poboljšanje sigurnosti za vas i vaše krajnje korisnike.