Как да актуализирате своя Windows Server Cipher Suite за по - добра сигурност

Съдържание:

Как да актуализирате своя Windows Server Cipher Suite за по - добра сигурност
Как да актуализирате своя Windows Server Cipher Suite за по - добра сигурност

Видео: Как да актуализирате своя Windows Server Cipher Suite за по - добра сигурност

Видео: Как да актуализирате своя Windows Server Cipher Suite за по - добра сигурност
Видео: Как восстановить шрифты - YouTube 2024, Април
Anonim
Управлявате уважаван уеб сайт, на който потребителите ви могат да се доверят. Така ли е? Може би искате да проверите това двойно. Ако сайтът ви работи с Microsoft Internet Information Services (IIS), може да сте изненадани. Когато потребителите ви се опитат да се свържат със сървъра ви чрез защитена връзка (SSL / TLS), може да не им осигурите безопасна опция.
Управлявате уважаван уеб сайт, на който потребителите ви могат да се доверят. Така ли е? Може би искате да проверите това двойно. Ако сайтът ви работи с Microsoft Internet Information Services (IIS), може да сте изненадани. Когато потребителите ви се опитат да се свържат със сървъра ви чрез защитена връзка (SSL / TLS), може да не им осигурите безопасна опция.

Осигуряването на по-добър шифроващ пакет е безплатен и доста лесен за настройка. Просто следвайте тази стъпка по стъпка, за да защитите потребителите и сървъра си. Също така ще научите как да тествате услугите, които използвате, за да видите колко са безопасни те наистина.

Защо Вашият шифър апартаменти са важни

IIS на Microsoft е доста страхотно. И двете са лесни за настройка и поддръжка. Той има лесен за работа графичен интерфейс, който прави конфигурацията бриз. Той работи на Windows. ИСУ наистина има много неща за това, но наистина се срива, когато става въпрос за просрочия на сигурността.

Ето как функционира сигурна връзка. Вашият браузър инициира защитена връзка към сайт. Това е най-лесно идентифицирано чрез URL, започващ с "HTTPS: //". Firefox предлага малка икона за заключване, за да илюстрира точката по-нататък. Chrome, Internet Explorer и Safari имат всички подобни методи, за да ви уведомят, че връзката ви е шифрована. Сървърът, към който се свързвате, отговаря на вашия браузър със списък от опции за шифроване, от които да избирате най-предпочитаните към най-малко. Вашият браузър сваля списъка, докато не намери опция за шифроване, която харесва и ние сме изключени и работим. Останалите, както се казва, са математически. (Никой не казва това.)
Ето как функционира сигурна връзка. Вашият браузър инициира защитена връзка към сайт. Това е най-лесно идентифицирано чрез URL, започващ с "HTTPS: //". Firefox предлага малка икона за заключване, за да илюстрира точката по-нататък. Chrome, Internet Explorer и Safari имат всички подобни методи, за да ви уведомят, че връзката ви е шифрована. Сървърът, към който се свързвате, отговаря на вашия браузър със списък от опции за шифроване, от които да избирате най-предпочитаните към най-малко. Вашият браузър сваля списъка, докато не намери опция за шифроване, която харесва и ние сме изключени и работим. Останалите, както се казва, са математически. (Никой не казва това.)

Фаталният недостатък в това е, че не всички опции за криптиране се създават еднакво. Някои използват наистина големи алгоритми за кодиране (ECDH), други са по-малко страхотни (RSA), а някои са просто зле препоръчани (DES). Браузърът може да се свърже със сървър, като използва някоя от опциите, които сървърът предоставя. Ако сайтът Ви предлага някои опции за ECDH, но също и някои опции за DES, сървърът ви ще се свърже и в двете. Простият акт на предлагане на тези лоши опции за шифроване прави вашия сайт, вашият сървър и вашите потребители потенциално уязвими. За съжаление по подразбиране IIS предоставя някои доста лоши възможности. Не е катастрофално, но определено не е добро.

Как да видите къде стоите

Преди да започнете, може да искате да знаете къде се намира сайтът Ви. За щастие добрите хора в Qualys предоставят безплатно на всички ни SSL Labs. Ако отидете на https://www.ssllabs.com/ssltest/, можете да видите точно как сървърът ви отговаря на заявки за HTTPS. Можете също да видите как редовно се използват услугите, които използвате.

Една бележка с внимание тук. Само защото сайт не получава рейтинг А, не означава, че хората, които ги управляват, вършат лоша работа. SSL Labs slams RC4 като слаб алгоритъм за шифроване, въпреки че няма известни атаки срещу него. Вярно е, че е по-малко резистентен към опитите за груба сила, отколкото нещо като RSA или ECDH, но това не е непременно лошо. Сайтът може да предложи вариант за свързване на RC4, който по необходимост не е съвместим с определени браузъри, така че класирането на сайтовете да се използва като насока, а не като декларация за сигурност или липса на такава.
Една бележка с внимание тук. Само защото сайт не получава рейтинг А, не означава, че хората, които ги управляват, вършат лоша работа. SSL Labs slams RC4 като слаб алгоритъм за шифроване, въпреки че няма известни атаки срещу него. Вярно е, че е по-малко резистентен към опитите за груба сила, отколкото нещо като RSA или ECDH, но това не е непременно лошо. Сайтът може да предложи вариант за свързване на RC4, който по необходимост не е съвместим с определени браузъри, така че класирането на сайтовете да се използва като насока, а не като декларация за сигурност или липса на такава.

Актуализиране на вашия шифровъчен пакет

Покрихме фонта, сега нека да си мръсни ръцете. Актуализирането на пакета от опции, които ви предоставя сървърът на Windows, не е непременно ясен, но определено не е трудно.

За да започнете, натиснете клавиша Windows + R, за да изведете диалоговия прозорец "Run". Напишете "gpedit.msc" и кликнете върху "OK", за да стартирате редактора на групови правила. Това е мястото, където ще направим промените си.
За да започнете, натиснете клавиша Windows + R, за да изведете диалоговия прозорец "Run". Напишете "gpedit.msc" и кликнете върху "OK", за да стартирате редактора на групови правила. Това е мястото, където ще направим промените си.
От лявата страна разгънете Компютърна конфигурация, Административни шаблони, Мрежа и след това кликнете върху Настройки за конфигуриране на SSL.
От лявата страна разгънете Компютърна конфигурация, Административни шаблони, Мрежа и след това кликнете върху Настройки за конфигуриране на SSL.
От дясната страна кликнете два пъти върху поръчката SSL Cipher Suite.
От дясната страна кликнете два пъти върху поръчката SSL Cipher Suite.
По подразбиране е избран бутонът "Не е конфигуриран". Кликнете върху бутона "Активиран", за да редактирате Cipher Suites на сървъра си.
По подразбиране е избран бутонът "Не е конфигуриран". Кликнете върху бутона "Активиран", за да редактирате Cipher Suites на сървъра си.
В полето SSL Cipher Suites се попълва текст, след като кликнете върху бутона. Ако искате да видите какво предлага Cipher Suites сървърът ви, копирайте текста от полето SSL Cipher Suites и го поставете в Notepad. Текстът ще бъде в един дълъг, непрекъснат низ. Всяко от опциите за кодиране е разделено със запетая. Поставянето на всяка опция на собствената й линия ще направи списъка по-лесен за четене.
В полето SSL Cipher Suites се попълва текст, след като кликнете върху бутона. Ако искате да видите какво предлага Cipher Suites сървърът ви, копирайте текста от полето SSL Cipher Suites и го поставете в Notepad. Текстът ще бъде в един дълъг, непрекъснат низ. Всяко от опциите за кодиране е разделено със запетая. Поставянето на всяка опция на собствената й линия ще направи списъка по-лесен за четене.

Можете да преминете през списъка и да добавите или премахнете към съдържанието на сърцето си с едно ограничение; списъкът не може да бъде повече от 1023 знака. Това е особено досадно, защото шифровите пакети имат дълги имена като "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", затова внимателно изберете. Препоръчвам да използвате списъка, съставен от Стив Гибсън, на адрес GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

След като прецените списъка си, трябва да го форматирате, за да го използвате. Подобно на оригиналния списък, вашият нов трябва да бъде един непрекъснат низ от знаци с всеки шифър, разделен със запетая. Копирайте форматирания си текст и го поставете в полето SSL Cipher Suites и кликнете върху OK. И накрая, за да направите промяната, трябва да рестартирате.

Когато сървърът ви се върне обратно в действие, преминете към SSL Labs и го изпробвайте. Ако всичко върви добре, резултатите трябва да ви дадат рейтинг A.

Ако искате нещо малко по-визуално, можете да инсталирате IIS Crypto от Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Това приложение ще ви позволи да направите същите промени като тези по-горе. Той също така ви позволява да активирате или деактивирате шифроването въз основа на различни критерии, така че не е нужно да ги преглеждате ръчно.
Ако искате нещо малко по-визуално, можете да инсталирате IIS Crypto от Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Това приложение ще ви позволи да направите същите промени като тези по-горе. Той също така ви позволява да активирате или деактивирате шифроването въз основа на различни критерии, така че не е нужно да ги преглеждате ръчно.

Без значение как го правите, актуализирането на Cipher Suites е лесен начин за подобряване на сигурността за вас и вашите крайни потребители.

Препоръчано:

Как да актуализирате своя Apple Watch, за да гледате OS 2.0.1 (или по-висока версия)

Как да актуализирате своя Apple Watch, за да гледате OS 2.0.1 (или по-висока версия)

Новата версия на операционната система за наблюдение на Apple, Watch OS 2.0.1, е на разположение на обществеността и благодарение на множество нови функции и подобрения е важна ъпгрейд за всеки потребител на Apple Watch. Прочетете, докато ви показваме как да актуализирате часовника си в най-актуалната операционна система.

Как да актуализирате своя iPhone или iPad в iOS 11

Как да актуализирате своя iPhone или iPad в iOS 11

Apple пусна iOS 11 на 19 септември 2017 г. Можете да надстроите, като натиснете "Инсталиране сега", когато се появи съобщение за актуализация, но можете също да проверите за актуализацията и да го инсталирате незабавно.

Как да прескочите изчакайте и да актуализирате до Android Oreo на своя пиксел или Nexus сега

Как да прескочите изчакайте и да актуализирате до Android Oreo на своя пиксел или Nexus сега

Android Oreo е тук, но бавно се отваря към устройствата Pixel и Nexus. Ако все още не сте получили известието за надграждане, ето малко малко, за да го направите по-рано.

Как да ръчно актуализирате своя Chromebook, когато софтуерът е твърде стар

Как да ръчно актуализирате своя Chromebook, когато софтуерът е твърде стар

Ако купувате Chromebook, който е излязъл от известно време, има малък шанс той да има проблем с изтеглянето на най-новите актуализации на OS. За щастие, не е невъзможно получаването на напълно актуализиран Chromebook.

Как да създадете своя собствена интернет сигурност Suite безплатно

Как да създадете своя собствена интернет сигурност Suite безплатно

Всъщност нямате нужда от пълен пакет за защита от интернет. Въпреки това, много хора обичат да ги имат - и плащат скъпо с абонаментни такси. Но можете да съберете свой собствен пакет за сигурност безплатно.