Как обновить Windows Server Cipher Suite для лучшей безопасности

Оглавление:

Как обновить Windows Server Cipher Suite для лучшей безопасности
Как обновить Windows Server Cipher Suite для лучшей безопасности

Видео: Как обновить Windows Server Cipher Suite для лучшей безопасности

Видео: Как обновить Windows Server Cipher Suite для лучшей безопасности
Видео: Шрифт ПО УМОЛЧАНИЮ в Word ▣ Компьютерщик - YouTube 2024, Апрель
Anonim
Вы запускаете почтенный веб-сайт, которому могут доверять ваши пользователи. Правильно? Вы можете дважды проверить это. Если ваш сайт работает в Microsoft Internet Information Services (IIS), у вас может быть сюрприз. Когда ваши пользователи пытаются подключиться к вашему серверу через безопасное соединение (SSL / TLS), вы не можете предоставить им безопасный вариант.
Вы запускаете почтенный веб-сайт, которому могут доверять ваши пользователи. Правильно? Вы можете дважды проверить это. Если ваш сайт работает в Microsoft Internet Information Services (IIS), у вас может быть сюрприз. Когда ваши пользователи пытаются подключиться к вашему серверу через безопасное соединение (SSL / TLS), вы не можете предоставить им безопасный вариант.

Предоставление лучшего набора шифров является бесплатным и довольно простым в настройке. Просто следуйте этому пошаговому руководству, чтобы защитить своих пользователей и ваш сервер. Вы также узнаете, как тестировать службы, которые вы используете, чтобы понять, насколько они безопасны.

Почему ваши шикарные люксы важны

Microsoft IIS очень хорош. Он легко настраивается и поддерживается. У этого есть удобный графический интерфейс, который делает настройку бриз. Он работает в Windows. У IIS действительно много чего для этого, но на самом деле падает, когда дело доходит до дефолтов по умолчанию.

Вот как работает безопасное соединение. Ваш браузер инициирует безопасное подключение к сайту. Это наиболее легко идентифицируется URL-адресом, начинающимся с «HTTPS: //». Firefox предлагает немного значка блокировки, чтобы проиллюстрировать это. Chrome, Internet Explorer и Safari имеют похожие методы, позволяющие вам узнать, что ваше соединение зашифровано. Сервер, к которому вы подключаетесь, отвечает на ваш браузер списком опций шифрования на выбор в порядке наименее предпочтительного. Ваш браузер идет вниз по списку, пока не найдет вариант шифрования, который ему нравится, и мы выключены. Остальные, как говорится, являются математикой. (Никто этого не говорит.)
Вот как работает безопасное соединение. Ваш браузер инициирует безопасное подключение к сайту. Это наиболее легко идентифицируется URL-адресом, начинающимся с «HTTPS: //». Firefox предлагает немного значка блокировки, чтобы проиллюстрировать это. Chrome, Internet Explorer и Safari имеют похожие методы, позволяющие вам узнать, что ваше соединение зашифровано. Сервер, к которому вы подключаетесь, отвечает на ваш браузер списком опций шифрования на выбор в порядке наименее предпочтительного. Ваш браузер идет вниз по списку, пока не найдет вариант шифрования, который ему нравится, и мы выключены. Остальные, как говорится, являются математикой. (Никто этого не говорит.)

Фатальный недостаток заключается в том, что не все параметры шифрования создаются одинаково. Некоторые используют действительно великолепные алгоритмы шифрования (ECDH), другие менее велики (RSA), а некоторые просто плохо информированы (DES). Браузер может подключаться к серверу с использованием любых параметров, предоставляемых сервером. Если ваш сайт предлагает некоторые варианты ECDH, но также некоторые опции DES, ваш сервер будет подключаться к любому из них. Простой способ предложить эти плохие параметры шифрования делает ваш сайт, ваш сервер и ваших пользователей потенциально уязвимыми. К сожалению, по умолчанию IIS предоставляет некоторые довольно плохие варианты. Не катастрофично, но определенно не хорошо.

Как посмотреть, где вы стоите

Прежде чем начать, вы можете узнать, где находится ваш сайт. К счастью, хорошие люди в Qualys бесплатно предоставляют SSL Labs всем нам. Если вы перейдете на страницу https://www.ssllabs.com/ssltest/, вы можете точно увидеть, как ваш сервер отвечает на запросы HTTPS. Вы также можете увидеть, как часто используются службы, которые вы используете.

Здесь следует упомянуть осторожность. Просто потому, что сайт не получает рейтинг «А», это не значит, что люди, выполняющие их, плохо работают. SSL Labs захлопывает RC4 как слабый алгоритм шифрования, хотя на него нет известных атак. Правда, он менее устойчив к попыткам грубой силы, чем что-то вроде RSA или ECDH, но это не обязательно плохо. Сайт может предлагать опцию подключения RC4 по необходимости для совместимости с определенными браузерами, поэтому используйте рейтинги сайтов в качестве ориентира, а не декларацию о безопасности в плане безопасности или ее отсутствие.
Здесь следует упомянуть осторожность. Просто потому, что сайт не получает рейтинг «А», это не значит, что люди, выполняющие их, плохо работают. SSL Labs захлопывает RC4 как слабый алгоритм шифрования, хотя на него нет известных атак. Правда, он менее устойчив к попыткам грубой силы, чем что-то вроде RSA или ECDH, но это не обязательно плохо. Сайт может предлагать опцию подключения RC4 по необходимости для совместимости с определенными браузерами, поэтому используйте рейтинги сайтов в качестве ориентира, а не декларацию о безопасности в плане безопасности или ее отсутствие.

Обновление комплекта шифрования

Мы покрыли фон, теперь давайте соберём руки. Обновление набора опций, предоставляемых вашим сервером Windows, не обязательно просто, но это определенно не сложно.

Для начала нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить». Введите «gpedit.msc» и нажмите «ОК», чтобы запустить редактор групповой политики. Здесь мы сделаем наши изменения.
Для начала нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить». Введите «gpedit.msc» и нажмите «ОК», чтобы запустить редактор групповой политики. Здесь мы сделаем наши изменения.
В левой части разверните узел «Конфигурация компьютера», «Административные шаблоны», «Сеть», а затем «Настройки конфигурации SSL».
В левой части разверните узел «Конфигурация компьютера», «Административные шаблоны», «Сеть», а затем «Настройки конфигурации SSL».
С правой стороны дважды щелкните по заказу SSL Cipher Suite.
С правой стороны дважды щелкните по заказу SSL Cipher Suite.
По умолчанию выбрана кнопка «Не настроено». Нажмите кнопку «Включено», чтобы отредактировать Cipher Suites вашего сервера.
По умолчанию выбрана кнопка «Не настроено». Нажмите кнопку «Включено», чтобы отредактировать Cipher Suites вашего сервера.
Поле SSL Cipher Suites заполнит текст после нажатия кнопки. Если вы хотите посмотреть, что предлагает Cipher Suites вашего сервера, скопируйте текст из поля SSL Cipher Suites и вставьте его в Блокнот. Текст будет содержать одну длинную непрерывную строку. Каждый из параметров шифрования разделяется запятой. Помещение каждой опции в свою линию облегчит чтение списка.
Поле SSL Cipher Suites заполнит текст после нажатия кнопки. Если вы хотите посмотреть, что предлагает Cipher Suites вашего сервера, скопируйте текст из поля SSL Cipher Suites и вставьте его в Блокнот. Текст будет содержать одну длинную непрерывную строку. Каждый из параметров шифрования разделяется запятой. Помещение каждой опции в свою линию облегчит чтение списка.

Вы можете пройти через список и добавить или удалить содержимое вашего сердца с одним ограничением; список не может быть более 1023 символов. Это особенно раздражает, потому что у наборов шифров есть длинные имена типа «TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384», поэтому выбирайте внимательно. Я рекомендую использовать список, составленный Стивом Гибсоном на сайте GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

После того как вы купили свой список, вам нужно отформатировать его для использования. Как и исходный список, ваша новая должна быть одной непрерывной строкой символов с каждым шифром, разделенным запятой. Скопируйте форматированный текст и вставьте его в поле SSL Cipher Suites и нажмите OK. Наконец, чтобы сделать палку изменений, вам нужно перезагрузить компьютер.

Вернувшись и работая с сервером, перейдите в SSL Labs и проверьте его. Если все пойдет хорошо, результаты должны дать вам рейтинг A.

Если вы хотите что-то более визуальное, вы можете установить IIS Crypto на Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Это приложение позволит вам внести те же изменения, что и выше. Он также позволяет включать или отключать шифры на основе различных критериев, поэтому вам не нужно их вручную проверять.
Если вы хотите что-то более визуальное, вы можете установить IIS Crypto на Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Это приложение позволит вам внести те же изменения, что и выше. Он также позволяет включать или отключать шифры на основе различных критериев, поэтому вам не нужно их вручную проверять.

Независимо от того, как вы это делаете, обновление Cipher Suites - это простой способ повысить безопасность для вас и ваших конечных пользователей.

Рекомендуемые:

Использование фраз пароля для лучшей безопасности

Использование фраз пароля для лучшей безопасности

Знаете ли вы, что Windows поддерживает использование паролей длиной до 127 символов? Я больше не использую пароли, и у меня нет лет. Вместо этого я переключился на использование паролей.

Как работают фильтры нейтральной плотности и как их использовать для лучшей фотографии

Как работают фильтры нейтральной плотности и как их использовать для лучшей фотографии

Хорошие фотографии - это не только создание вашего предмета и учебной композиции. Изучение того, как контролировать, сколько света входит в вашу камеру и как долго может помочь вам делать фотографии, которые ускользают от среднего фотографа. Фильтры нейтральной плотности являются мощным инструментом в этом направлении. Вот что они и как их использовать.

Как Mod Dock для Nintendo для лучшей переносимости

Как Mod Dock для Nintendo для лучшей переносимости

Коммутатор замечательный! Дизайн док-станции Nintendo … менее велик. При покупке сторонней доки может быть рискованно, есть альтернатива: замените пластиковую оболочку на оригинал, чтобы сделать ее быстрой, средней, быстрой док-станцией.

Как обновить ключ безопасности для сети Wi-Fi в Windows 8/10

Как обновить ключ безопасности для сети Wi-Fi в Windows 8/10

В этой статье рассказывается, как вручную или с помощью CMD обновить или изменить пароль сети Wi-Fi или ключ безопасности для конкретной сети WiFi в Windows 10 / 8.1.

Не удается обновить, вычислить или обновить индекс производительности Windows

Не удается обновить, вычислить или обновить индекс производительности Windows

Невозможно оценить, обновить, вычислить или обновить индекс производительности Windows в Windows 7/8? Устранение индекса производительности Windows Неограниченное сообщение и обновление WEI.