Αρχική σελίδα » πως να » Τρόπος ενημέρωσης της σουίτας κρυπτογράφησης των Windows Server για καλύτερη ασφάλεια

    Τρόπος ενημέρωσης της σουίτας κρυπτογράφησης των Windows Server για καλύτερη ασφάλεια

    Διατρέχετε έναν αξιοσέβαστο ιστότοπο που μπορούν να εμπιστευτούν οι χρήστες σας. Σωστά? Ίσως θελήσετε να κάνετε διπλό έλεγχο. Εάν ο ιστότοπός σας εκτελείται σε Microsoft Internet Information Services (IIS), ίσως να είστε σε έκπληξη. Όταν οι χρήστες σας προσπαθούν να συνδεθούν με τον διακομιστή σας μέσω ασφαλούς σύνδεσης (SSL / TLS) ενδέχεται να μην τους παρέχετε μια ασφαλή επιλογή.

    Η παροχή μιας καλύτερης κρυπτογραφικής σουίτας είναι δωρεάν και πολύ εύκολη στη ρύθμιση. Απλώς ακολουθήστε αυτόν τον οδηγό βήμα προς βήμα για την προστασία των χρηστών και του διακομιστή σας. Θα μάθετε επίσης πώς να δοκιμάζετε τις υπηρεσίες που χρησιμοποιείτε για να δείτε πόσο ασφαλείς είναι πραγματικά.

    Γιατί οι σουίτες σας Cipher είναι σημαντικές

    Το IIS της Microsoft είναι πολύ καλό. Είναι εύκολο να εγκατασταθεί και να διατηρηθεί. Έχει μια φιλική προς το χρήστη γραφική διεπαφή που κάνει τη διαμόρφωση μια αύρα. Τρέχει στα Windows. Το IIS έχει πραγματικά πολλά πράγματα για αυτό, αλλά πραγματικά πέφτει στο επίπεδο όταν πρόκειται για προεπιλογές ασφαλείας.

    Δείτε πώς λειτουργεί μια ασφαλής σύνδεση. Το πρόγραμμα περιήγησής σας ξεκινά μια ασφαλή σύνδεση σε έναν ιστότοπο. Αυτό αναγνωρίζεται πιο εύκολα από μια διεύθυνση URL που αρχίζει με "HTTPS: //". Ο Firefox προσφέρει ένα μικρό εικονίδιο κλειδαριάς για να απεικονίσει το σημείο περαιτέρω. Το Chrome, ο Internet Explorer και το Safari έχουν όλες παρόμοιες μεθόδους που σας ενημερώνουν ότι η σύνδεσή σας είναι κρυπτογραφημένη. Ο διακομιστής που συνδέεστε με τις απαντήσεις στο πρόγραμμα περιήγησής σας με μια λίστα επιλογών κρυπτογράφησης για να επιλέξετε από τη σειρά των προτιμώμενων σε λιγότερο. Ο περιηγητής σας κατεβαίνει στη λίστα μέχρι να βρει μια επιλογή κρυπτογράφησης που του αρέσει και είμαστε εκτός λειτουργίας. Τα υπόλοιπα, όπως λένε, είναι μαθηματικά. (Κανείς δεν το λέει αυτό.)

    Το θανατηφόρο λάθος σε αυτό είναι ότι δεν δημιουργούνται εξίσου όλες οι επιλογές κρυπτογράφησης. Κάποιοι χρησιμοποιούν πραγματικά εξαιρετικούς αλγόριθμους κρυπτογράφησης (ECDH), άλλοι είναι λιγότερο μεγάλοι (RSA), και κάποιοι είναι απλώς κακοποιημένοι (DES). Ένα πρόγραμμα περιήγησης μπορεί να συνδεθεί σε ένα διακομιστή χρησιμοποιώντας οποιαδήποτε από τις επιλογές που παρέχει ο διακομιστής. Αν ο ιστότοπός σας προσφέρει κάποιες επιλογές ECDH, αλλά και κάποιες επιλογές DES, ο διακομιστής σας θα συνδεθεί και στις δύο. Η απλή πράξη προσφοράς αυτών των κακών επιλογών κρυπτογράφησης καθιστά τον ιστότοπό σας, τον διακομιστή σας και τους χρήστες σας δυνητικά ευάλωτους. Δυστυχώς, από προεπιλογή, το IIS παρέχει κάποιες πολύ κακές επιλογές. Δεν είναι καταστροφικό, αλλά σίγουρα δεν είναι καλό.

    Πώς να δείτε πού μένετε

    Πριν ξεκινήσουμε, ίσως να θέλετε να μάθετε πού βρίσκεται ο ιστότοπός σας. Ευτυχώς, οι καλοί χρήστες της Qualys παρέχουν δωρεάν σε όλους μας τα SSL Labs. Αν μεταβείτε στη διεύθυνση https://www.ssllabs.com/ssltest/, μπορείτε να δείτε ακριβώς πώς ανταποκρίνεται ο διακομιστής σας σε αιτήματα HTTPS. Μπορείτε επίσης να δείτε πώς οι υπηρεσίες που χρησιμοποιείτε κανονικά στοιβάζονται.

    Μια σημείωση με προσοχή εδώ. Ακριβώς επειδή ένας ιστότοπος δεν λαμβάνει μια βαθμολογία Α δεν σημαίνει ότι οι λαοί που τους τρέχουν κάνουν κακή δουλειά. Το SSL Labs slams RC4 ως έναν ασθενή αλγόριθμο κρυπτογράφησης, παρόλο που δεν υπάρχουν γνωστές επιθέσεις εναντίον του. Είναι αλήθεια ότι είναι λιγότερο ανθεκτικό στις βίαιες απόπειρες βίας από κάτι σαν RSA ή ECDH, αλλά δεν είναι απαραιτήτως κακό. Ένας ιστότοπος μπορεί να προσφέρει μια επιλογή σύνδεσης RC4 εξαιτίας της ανάγκης για συμβατότητα με συγκεκριμένα προγράμματα περιήγησης, οπότε χρησιμοποιήστε την κατάταξη των τοποθεσιών ως κατευθυντήρια γραμμή και όχι μια σιδερότυπη δήλωση ασφαλείας ή την έλλειψη αυτής.

    Ενημέρωση της σουίτας Cipher

    Έχουμε καλύψει το φόντο, τώρα ας πάρουμε τα χέρια μας βρώμικα. Η ενημέρωση της σουίτας επιλογών που παρέχει ο διακομιστής των Windows σας δεν είναι απαραιτήτως απλή, αλλά σίγουρα δεν είναι δύσκολο.

    Για να ξεκινήσετε, πατήστε το πλήκτρο Windows + R για να εμφανιστεί το πλαίσιο διαλόγου "Εκτέλεση". Πληκτρολογήστε "gpedit.msc" και κάντε κλικ στο "OK" για να ξεκινήσετε τον επεξεργαστή πολιτικής ομάδας. Εδώ θα κάνουμε τις αλλαγές μας.

    Στην αριστερή πλευρά, αναπτύξτε το στοιχείο Διαμόρφωση υπολογιστή, πρότυπα διαχείρισης, δίκτυο και, στη συνέχεια, κάντε κλικ στις ρυθμίσεις παραμέτρων SSL.

    Στη δεξιά πλευρά, κάντε διπλό κλικ στην εντολή SSL Cipher Suite.

    Από προεπιλογή, έχει επιλεγεί το κουμπί "Δεν έχει ρυθμιστεί". Κάντε κλικ στο κουμπί "Enabled" για να επεξεργαστείτε το Cipher Suites του διακομιστή σας.

    Το πεδίο SSL Cipher Suites θα συμπληρωθεί με κείμενο μόλις πατήσετε το κουμπί. Αν θέλετε να δείτε τι προσφέρει το Cipher Suites στον διακομιστή σας, αντιγράψτε το κείμενο από το πεδίο SSL Cipher Suites και επικολλήστε το στο Notepad. Το κείμενο θα είναι σε μια μακρά, αδιάσπαστη σειρά. Κάθε μία από τις επιλογές κρυπτογράφησης διαχωρίζεται με κόμμα. Η τοποθέτηση κάθε επιλογής στη δική της γραμμή θα καταστήσει ευκολότερη την ανάγνωση της λίστας.

    Μπορείτε να περάσετε από τη λίστα και να προσθέσετε ή να αφαιρέσετε στο περιεχόμενο της καρδιάς σας με έναν περιορισμό. ο κατάλογος δεν μπορεί να είναι μεγαλύτερος από 1.023 χαρακτήρες. Αυτό είναι ιδιαίτερα ενοχλητικό επειδή οι σουίτες κρυπτογράφησης έχουν μακρά ονόματα όπως "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", γι 'αυτό επιλέξτε προσεκτικά. Σας συνιστώ να χρησιμοποιήσετε τον κατάλογο που συνέταξε ο Steve Gibson στο GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

    Μόλις επιτηρήσετε τη λίστα σας, θα πρέπει να την διαμορφώσετε για χρήση. Όπως και ο αρχικός κατάλογος, ο νέος σας πρέπει να είναι ένας αδιάσπαστος χαρακτήρας χαρακτήρων με κάθε κρυπτογραφικό χωριστό με κόμμα. Αντιγράψτε το μορφοποιημένο κείμενο και επικολλήστε το στο πεδίο SSL Cipher Suites και κάντε κλικ στο κουμπί OK. Τέλος, για να κάνετε την αλλαγή stick, πρέπει να επανεκκινήσετε.

    Με το διακομιστή σας να ξεκινά και να λειτουργεί, κατευθυνθείτε στο SSL Labs και δοκιμάστε το. Εάν όλα πάνε καλά, τα αποτελέσματα θα σας δώσουν μια βαθμολογία Α.

    Εάν θέλετε κάτι λίγο πιο οπτικό, μπορείτε να εγκαταστήσετε το IIS Crypto από την Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Αυτή η εφαρμογή θα σας επιτρέψει να κάνετε τις ίδιες αλλαγές με τα παραπάνω βήματα. Επίσης, σας επιτρέπει να ενεργοποιείτε ή να απενεργοποιείτε τους κρυπτογράφους βάσει διαφόρων κριτηρίων, ώστε να μην χρειάζεται να τα περάσετε χειροκίνητα.

    Ανεξάρτητα από το πώς το κάνετε, η ενημέρωση του Cipher Suites σας είναι ένας εύκολος τρόπος για να βελτιώσετε την ασφάλεια για εσάς και τους τελικούς χρήστες σας.