כיצד לעדכן את Windows Server Server Cipher עבור אבטחה טובה יותר
אתה מפעיל אתר מכובד שהמשתמשים שלך יכולים לסמוך עליו. ימין? אולי כדאי לך לבדוק את זה פעמיים. אם האתר שלך פועל ב- Microsoft Internet Information Services (IIS), ייתכן שתופתע. כאשר המשתמשים שלך מנסים להתחבר לשרת שלך באמצעות חיבור מאובטח (SSL / TLS), ייתכן שלא תספק להם אפשרות בטוחה.
מתן חבילת צופן טוב יותר בחינם וקל למדי ההתקנה. עקוב אחר המדריך המפורט הזה כדי להגן על המשתמשים ועל השרת שלך. תוכלו גם ללמוד כיצד לבדוק שירותים אתה משתמש כדי לראות עד כמה הם בטוחים.
מדוע סוויטות ההצפנה שלך חשובות
IIS של מיקרוסופט הוא די נהדר. זה גם קל להתקנה ולתחזוקה. יש לו ממשק גרפי ידידותי למשתמש שעושה תצורה רוח. הוא פועל על Windows. IIS באמת יש הרבה הולך על זה, אבל באמת נופל שטוח כשמדובר defaults אבטחה.
כך עובד חיבור מאובטח. הדפדפן שלך יוזם חיבור מאובטח לאתר. הדבר מזוהה בקלות רבה על ידי כתובת אתר המתחילה ב- "HTTPS: //". אתר מציעה את סמל המנעול הקטן כדי להמחיש את הנקודה נוספת. ל- Chrome, ל- Internet Explorer ול- Safari יש שיטות דומות להודיע לך שהחיבור שלך מוצפן. השרת שבו אתה מתחבר לתשובות לדפדפן שלך, עם רשימה של אפשרויות הצפנה לבחירה, לפי סדר המועדף ביותר. הדפדפן שלך יורד ברשימה עד שהוא מוצא אפשרות הצפנה שהוא אוהב ואנחנו פועלים וממשיכים לפעול. השאר, כמו שאומרים, הוא מתמטיקה. (אף אחד לא אומר את זה).
הפגם הקטלני בכך שלא כל אפשרויות ההצפנה נוצרות באופן שווה. יש להשתמש באלגוריתמים הצפנה גדולה מאוד (ECDH), אחרים הם גדולים יותר (RSA), וחלקם רק חולה מומלץ (DES). דפדפן יכול להתחבר לשרת באמצעות כל אחת מהאפשרויות שהשרת מספק. אם האתר שלך מציע כמה אפשרויות ECDH אבל גם כמה אפשרויות DES, השרת שלך יהיה להתחבר על אחד. הפעולה הפשוטה של הצעת אפשרויות הצפנה גרועות אלה הופכת את האתר, השרת והמשתמשים שלך לפגיעים. למרבה הצער, כברירת מחדל, IIS מספק כמה אפשרויות עניות למדי. לא קטסטרופלי, אבל בהחלט לא טוב.
איך לראות איפה אתה עומד
לפני שנתחיל, ייתכן שתרצה לדעת היכן האתר שלך עומד. תודה לאל שאנשים טובים ב- Qualys מספקים מעבדות SSL לכולנו ללא תשלום. אם אתה הולך https://www.ssllabs.com/ssltest/, אתה יכול לראות בדיוק איך השרת שלך מגיב לבקשות HTTPS. ניתן גם לראות כיצד שירותים אתה משתמש באופן קבוע מחסנית.
נימה של זהירות כאן. רק בגלל האתר לא מקבל דירוג A לא אומר אנשים מפעיל אותם עושים עבודה גרועה. מעבדי SSL מטעינים את RC4 כאלגוריתם הצפנה חלש, למרות שאין התקפות ידועות נגדו. נכון, זה פחות עמיד בפני ניסיונות כוח פראי מאשר משהו כמו RSA או ECDH, אבל זה לא בהכרח רע. האתר עשוי להציע אפשרות חיבור RC4 מתוך צורך תאימות עם דפדפנים מסוימים ולכן להשתמש דירוג אתרים כמו הנחיה, לא הצהרה לבוש ברזל של ביטחון או היעדרם.
עדכון חבילת ההצפנה שלך
כיסינו את הרקע, עכשיו בואו נלכלך את הידיים. עדכון חבילת האפשרויות של Windows Server שלך הוא לא בהכרח פשוט, אבל זה בהחלט לא קשה גם.
כדי להתחיל, לחץ על Windows Key + R כדי להציג את תיבת הדו-שיח "הפעלה". הקלד "gpedit.msc" ולחץ על "אישור" כדי להפעיל את עורך המדיניות הקבוצתית. זה המקום שבו נערוך את השינויים.
בצד שמאל, הרחב את תצורת מחשב, תבניות ניהוליות, רשת ולאחר מכן לחץ על הגדרות תצורת SSL.
בצד ימין, לחץ לחיצה כפולה על SSL Crypt Suite Order.
כברירת מחדל, הלחצן "לא מוגדר" נבחר. לחץ על כפתור "מופעל" כדי לערוך את השרת של Cipher Suites.
שדה SSL Cipher Suites ימלא טקסט ברגע שתלחץ על הלחצן. אם אתה רוצה לראות מה ההצפנה סוויטות השרת שלך הוא מציע כעת, להעתיק את הטקסט מן הצפנת SSL שדות שדה ולהדביק אותו לתוך פנקס רשימות. הטקסט יהיה במחרוזת אחת ארוכה ולא רצופה. כל אחת מאפשרויות ההצפנה מופרדת בפסיק. לשים כל אפשרות על הקו שלה יהפכו את הרשימה לקלה יותר לקריאה.
אתה יכול לעבור את הרשימה ולהוסיף או להסיר את התוכן של הלב עם הגבלה אחת; הרשימה לא יכולה להיות יותר מ 1,023 תווים. זה מרגיז במיוחד משום שלשירותי ההצפנה יש שמות ארוכים כגון "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", לכן בחר בקפידה. אני ממליץ על שימוש ברשימה של סטיב גיבסון מעל ב GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
לאחר שאצרת את הרשימה שלך, עליך לפרמט אותה לשימוש. כמו הרשימה המקורית, החדש שלך צריך להיות מחרוזת אחת רצופה של תווים עם כל צופן מופרדים על ידי פסיק. העתק את הטקסט המעוצב והדבק אותו בשדה SSL Cipher Suites ולחץ על אישור. לבסוף, כדי להפוך את המקל השינוי, אתה צריך לאתחל מחדש.
עם השרת שלך לגבות ולהפעיל, הראש אל מעבדות SSL ולבדוק את זה. אם הכל הלך טוב, את התוצאות צריך לתת לך דירוג.
אם אתה רוצה משהו קצת יותר חזותי, אתה יכול להתקין IIS Crypto ידי Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). יישום זה יאפשר לך לבצע את אותם שינויים כמו השלבים שלמעלה. זה גם מאפשר לך להפעיל או להשבית ciphers מבוסס על מגוון של קריטריונים אז אתה לא צריך לעבור אותם ידנית.
לא משנה איך אתה עושה את זה, עדכון סוויטות ההצפנה שלך היא דרך קלה לשפר את האבטחה עבורך ועל משתמשי הקצה שלך.