Sådan opdateres din Windows Server Cipher Suite til bedre sikkerhed
Du driver et respektabelt websted, som dine brugere kan stole på. Ret? Du kan måske dobbelttjekke det. Hvis dit websted kører på Microsoft Internet Information Services (IIS), kan du være i en overraskelse. Når dine brugere forsøger at oprette forbindelse til din server via en sikker forbindelse (SSL / TLS), kan du muligvis ikke give dem en sikker mulighed.
At give en bedre chiffer-suite er gratis og ret nemt at opsætte. Følg blot dette trin for trin vejledning for at beskytte dine brugere og din server. Du vil også lære at teste de tjenester, du bruger til at se, hvor sikre de egentlig er.
Hvorfor Din Cipher Suites er vigtige
Microsofts IIS er ret stor. Det er både nemt at opsætte og vedligeholde. Den har en brugervenlig grafisk grænseflade, der gør konfigurationen til en leg. Den kører på Windows. IIS har virkelig meget at gøre for det, men falder virkelig fladt når det kommer til sikkerhedsstandarder.
Sådan virker en sikker forbindelse. Din browser initierer en sikker forbindelse til et websted. Dette er letest identificeret af en URL, der begynder med "HTTPS: //". Firefox tilbyder et lille låsikon for at illustrere punktet yderligere. Chrome, Internet Explorer og Safari har alle lignende metoder til at fortælle dig, at din forbindelse er krypteret. Den server, du forbinder til svar på din browser, med en liste over krypteringsindstillinger at vælge imellem i den mest foretrukne til mindst. Din browser går ned på listen, indtil den finder en krypteringsindstilling, den kan lide, og vi er ude og kører. Resten, som de siger, er matematik. (Ingen siger det.)
Den fatale fejl i dette er, at ikke alle krypteringsmulighederne oprettes lige. Nogle bruger rigtig gode krypteringsalgoritmer (ECDH), andre er mindre gode (RSA), og nogle er bare ukorrekte (DES). En browser kan oprette forbindelse til en server ved hjælp af en af de muligheder, serveren tilbyder. Hvis dit websted tilbyder nogle ECDH-muligheder, men også nogle DES-muligheder, vil din server forbinde enten. Den enkle handling at tilbyde disse dårlige krypteringsmuligheder gør dit websted, din server og dine brugere potentielt sårbare. Desværre har IIS som standard nogle ret dårlige muligheder. Ikke katastrofalt, men absolut ikke godt.
Sådan ser du hvor du står
Før vi starter, vil du måske vide, hvor dit websted står. Heldigvis tilbyder de gode folk på Qualys SSL Labs til os alle gratis. Hvis du går til https://www.ssllabs.com/ssltest/, kan du se præcis, hvordan din server reagerer på HTTPS-anmodninger. Du kan også se, hvordan tjenester, du bruger regelmæssigt, stabler op.
En advarsel her. Bare fordi et websted ikke modtager en A-vurdering betyder det ikke, at folk, der kører dem, gør et dårligt job. SSL Labs slammer RC4 som en svag krypteringsalgoritme, selvom der ikke er kendte angreb mod det. Det er sandt, at det er mindre modstandsdygtigt over for brutale kraftforsøg end noget som RSA eller ECDH, men det er ikke nødvendigvis dårligt. Et websted kan tilbyde en RC4-forbindelse uden behov for kompatibilitet med visse browsere, så brug webstedernes placering som en retningslinje, ikke en jernklædt sikkerhedserklæring eller mangel på det.
Opdatering af din Cipher Suite
Vi har dækket baggrunden, lad os nu få vores hænder snavset. Opdatering af pakken af muligheder, som din Windows-server giver, er ikke nødvendigvis ligetil, men det er heller ikke svært.
For at starte, tryk på Windows Nøgle + R for at hente dialogboksen "Kør". Skriv "gpedit.msc" og klik på "OK" for at starte Group Policy Editor. Det er her, vi foretager vores ændringer.
På venstre side skal du udvide Computer Configuration, Administrative Skabeloner, Network og derefter klikke på SSL Configuration Settings.
Dobbeltklik på SSL Cipher Suite Order på højre side.
Som standard er knappen "Ikke konfigureret" valgt. Klik på knappen "Enabled" for at redigere din serveres Cipher Suites.
Feltet SSL Cipher Suites fylder med tekst, når du klikker på knappen. Hvis du vil se, hvad Cipher Suites din server tilbyder, kan du kopiere teksten fra feltet SSL Cipher Suites og indsætte det i Notesblok. Teksten kommer i en lang, ubrudt streng. Hver af krypteringsindstillingerne er adskilt af et komma. At sætte hver mulighed på egen linje vil gøre listen lettere at læse.
Du kan gå gennem listen og tilføje eller fjerne til dit hjertes indhold med en begrænsning; listen kan ikke være mere end 1.023 tegn. Dette er især irriterende, fordi chiffer-suiterne har lange navne som "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", så vælg omhyggeligt. Jeg anbefaler at bruge listen sammensat af Steve Gibson over på GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Når du har curated din liste, skal du formatere den til brug. Ligesom den oprindelige liste skal din nye være en ubrudt tegnstreng med hver kryptering adskilt af et komma. Kopier din formaterede tekst og indsæt den i feltet SSL Cipher Suites og klik på OK. Endelig skal du genstarte for at gøre forandringspinden.
Med din server igen, kører du over til SSL Labs og tester det. Hvis alt gik godt, skal resultaterne give dig en A-vurdering.
Hvis du gerne vil have noget mere visuelt, kan du installere IIS Crypto af Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Denne applikation giver dig mulighed for at lave de samme ændringer som ovenstående trin. Det giver dig også mulighed for at aktivere eller deaktivere cifre baseret på en række kriterier, så du ikke behøver at gennemgå dem manuelt.
Uanset hvordan du gør det, er opdateringen af dine Cipher Suites en nem måde at forbedre sikkerheden for dig og dine slutbrugere.