Jak aktualizovat sadu šifránek systému Windows Server pro lepší zabezpečení
Spouštíte slušnou webovou stránku, kterou mohou uživatelé důvěřovat. Že jo? Možná budete chtít tuto kontrolu dvakrát zkontrolovat. Pokud vaše stránky běží na Internetová informační služba (IIS), můžete být překvapeni. Pokud se vaši uživatelé pokusí připojit k serveru přes zabezpečené připojení (SSL / TLS), pravděpodobně jim neposkytnete bezpečnou volbu.
Poskytování lepší šifrovací sady je zdarma a poměrně snadné nastavení. Postupujte podle pokynů krok za krokem, abyste ochránili uživatele a váš server. Dozvíte se také, jak testovat služby, které používáte, abyste zjistili, jak bezpečně jsou skutečně.
Proč jsou vaše Cipher Suites důležité
Microsoft IIS je docela skvělý. Je to snadné nastavení a údržba. Má uživatelsky přívětivé grafické rozhraní, které usnadňuje konfiguraci. Spouští se na systému Windows. IIS na to opravdu hodně hodlá, ale ve skutečnosti klesá, pokud jde o bezpečnostní selhání.
Zde funguje zabezpečené připojení. Váš prohlížeč iniciuje zabezpečené připojení k webu. To je nejlépe identifikováno adresou URL začínající "HTTPS: //". Firefox nabízí malou ikonu zámku, která dále ilustruje tento bod. Chrome, Internet Explorer a Safari mají všechny podobné metody, které vám umožňují informovat vás, že vaše připojení je šifrováno. Server, ke kterému se připojujete, odpovídá na váš prohlížeč se seznamem možností šifrování, z nichž si můžete vybrat nejraději. Váš prohlížeč přejde do seznamu, dokud nenajde šifrovací volbu, která se mu líbí a my jsme mimo provoz. Zbytek, jak se říká, je matematika. (Nikdo to neříká.)
Smrtelnou chybou je, že ne všechny možnosti šifrování jsou vytvořeny stejně. Někteří používají skutečně skvělé šifrovací algoritmy (ECDH), jiné jsou méně kvalitní (RSA) a některé jsou prostě špatné (DES). Prohlížeč se může připojit k serveru pomocí libovolné možnosti, kterou server poskytuje. Pokud vaše stránky nabízejí některé možnosti ECDH, ale také některá možnost DES, váš server se připojí buď na. Jednoduchý způsob nabízení těchto špatných možností šifrování činí váš web, váš server a uživatele potenciálně zranitelnými. Ve výchozím nastavení služba IIS poskytuje některé poměrně špatné možnosti. Není katastrofální, ale rozhodně není dobré.
Jak vidět, kde stojíte
Než začneme, možná budete chtít vědět, kde stojí váš web. Naštěstí dobří uživatelé společnosti Qualys poskytují všem bezplatným SSL Labs. Pokud přejdete na stránku https://www.ssllabs.com/ssltest/, můžete přesně zjistit, jak váš server reaguje na požadavky HTTPS. Můžete také zjistit, jak se pravidelně využívají služby, které se používají.
Jedna poznámka s opatrností. Jen proto, že stránky neobdrží rating A, neznamená to, že lidé, kteří je provozují, dělají špatnou práci. SSL Labs slaví RC4 jako slabý šifrovací algoritmus, i když proti němu nejsou známy žádné útoky. Je pravda, že je méně odolná vůči pokusům o hrubou sílu než něco jako RSA nebo ECDH, ale to nemusí být nutně špatné. Stránky mohou nabízet volbu připojení RC4 z nutnosti nezbytně kompatibilní s určitými prohlížeči, takže použijte hodnocení stránek jako vodítko, nikoliv prohlášení o bezpečnosti nebo nedostatek bezpečnosti.
Aktualizace šifrovacího balíčku
Zakryli jsme zázemí, teď se dostaneme do špinavých rukou. Aktualizace sady možností, které poskytuje server Windows, není nutně jednoduchá, ale rozhodně není ani těžké.
Chcete-li spustit, stisknutím klávesy Windows + R vyvoláte dialogové okno "Spustit". Zadejte příkaz "gpedit.msc" a klepnutím na tlačítko OK spusťte Editor zásad skupiny. Zde provedeme změny.
V levé části rozbalte položku Konfigurace počítače, šablony pro správu, síť a pak klikněte na nastavení konfigurace SSL.
Na pravé straně klikněte dvakrát na příkaz SSL Cipher Suite.
Ve výchozím nastavení je vybráno tlačítko "Not Configured". Kliknutím na tlačítko "Enabled (Povoleno)" upravíte serverové Cipher Suites.
Po klepnutí na tlačítko pole SSL Cipher Suites se naplní text. Pokud chcete zjistit, co Cipher Suites váš server aktuálně nabízí, zkopírujte text z pole SSL Cipher Suites a vložte jej do programu Poznámkový blok. Text bude v jednom dlouhém neporušeném řetězci. Každá z možností šifrování je oddělena čárkou. Uvedení každé možnosti na vlastní řádek usnadní seznam.
Můžete projít seznamem a přidat nebo odstranit do svého srdce obsah s jedním omezením; tento seznam nesmí mít více než 1 023 znaků. To je obzvlášť nepříjemné, protože šifrovací sady mají dlouhé názvy jako "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", proto si pečlivě vybírejte. Doporučuji používat seznam vytvořený Steve Gibsonem na adrese GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Jakmile jste svůj seznam vyřešili, musíte ho naformátovat. Podobně jako původní seznam musí být nový nový neporušený řetězec znaků s každou šifrou oddělenou čárkou. Zkopírujte formátovaný text a vložte jej do pole SSL Cipher Suites a klepněte na tlačítko OK. Konečně, aby se změnila tyčka, musíte se restartovat.
S vašim serverem zálohujte a přejděte na SSL Labs a vyzkoušejte ho. Pokud by vše proběhlo dobře, měly by vám výsledky získat hodnocení A.
Pokud byste chtěli něco trochu vizuálního, můžete nainstalovat IIS Crypto od Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Tato aplikace vám umožní provádět stejné změny jako výše uvedené kroky. Umožňuje také povolení nebo zakázání šifrování na základě různých kritérií, takže je nemusíte procházet ručně.
Bez ohledu na to, jak to uděláte, aktualizace vašeho Cipher Suites je snadný způsob, jak zvýšit bezpečnost pro vás a vaše koncové uživatele.