Bagaimana Mengemas Kini Cipher Suite Windows Server untuk Keselamatan yang Lebih Baik
Anda menjalankan laman web yang dihormati yang boleh dipercayai oleh pengguna anda. Betul kan? Anda mungkin ingin menyemak semula itu. Sekiranya laman web anda berjalan pada Perkhidmatan Maklumat Internet Microsoft (IIS), anda mungkin terkejut. Apabila pengguna anda cuba menyambung ke pelayan anda melalui sambungan selamat (SSL / TLS), anda mungkin tidak memberikan mereka pilihan yang selamat.
Menyediakan suite cipher yang lebih baik adalah percuma dan cukup mudah untuk persediaan. Ikuti langkah ini dengan panduan langkah untuk melindungi pengguna dan pelayan anda. Anda juga akan belajar bagaimana untuk menguji perkhidmatan yang anda gunakan untuk melihat betapa selamatnya mereka.
Kenapa Cipher Suites anda penting
IIS Microsoft cukup bagus. Ia mudah untuk persediaan dan penyelenggaraan. Ia mempunyai antara muka grafik mesra pengguna yang membuat konfigurasi mudah. Ia berjalan pada Windows. IIS benar-benar mempunyai banyak perkara untuk itu, tetapi benar-benar jatuh rata ketika datang ke keselamatan lalai.
Begini bagaimana sambungan selamat berfungsi. Penyemak imbas anda memulakan sambungan selamat ke tapak. Ini paling mudah dikenalpasti oleh URL yang bermula dengan "HTTPS: //". Firefox menawarkan ikon kunci kecil untuk menggambarkan titik lebih lanjut. Chrome, Internet Explorer, dan Safari semuanya mempunyai kaedah yang sama untuk membolehkan anda mengetahui sambungan anda disulitkan. Pelayan yang anda sambungkan kepada balasan kepada penyemak imbas anda dengan senarai pilihan penyulitan untuk dipilih dari urutan paling tidak diutamakan. Penyemak imbas anda turun senarai sehingga ia mendapati pilihan penyulitan yang disukainya dan kami dimatikan dan berjalan. Selebihnya, seperti yang mereka katakan, adalah matematik. (Tiada siapa yang mengatakannya.)
Kesilapan yang membawa maut ini adalah tidak semua pilihan penyulitan dibuat sama. Sesetengah menggunakan algoritma penyulitan benar-benar hebat (ECDH), yang lain kurang hebat (RSA), dan sesetengahnya hanya sakit dinasihatkan (DES). Pelayar boleh menyambung ke pelayan menggunakan mana-mana pilihan yang disediakan pelayan. Jika laman web anda menawarkan beberapa pilihan ECDH tetapi juga beberapa pilihan DES, pelayan anda akan menyambung sama ada. Perbuatan mudah menawarkan pilihan penyulitan buruk ini menjadikan laman web anda, pelayan anda, dan pengguna anda berpotensi rentan. Malangnya, secara lalai, IIS menyediakan beberapa pilihan yang sangat miskin. Tidak malapetaka, tetapi pasti tidak baik.
Cara Lihat Di mana Anda Berdiri
Sebelum memulakan, anda mungkin ingin tahu di mana tapak anda berdiri. Syukurlah orang yang baik di Qualys menyediakan SSL Labs kepada kita semua secara percuma. Sekiranya anda pergi ke https://www.ssllabs.com/ssltest/, anda dapat melihat dengan tepat bagaimana pelayan anda bertindak balas terhadap permintaan HTTPS. Anda juga boleh melihat bagaimana perkhidmatan yang anda kerap digunakan.
Satu nota berhati-hati di sini. Hanya kerana tapak tidak menerima penarafan A tidak bermakna orang yang menjalankannya melakukan pekerjaan yang tidak baik. Labs SSL menyekat RC4 sebagai algoritma penyulitan yang lemah walaupun tidak ada serangan yang diketahui. Benar, ia kurang tahan percubaan kuasa brute daripada sesuatu seperti RSA atau ECDH, tetapi tidak semestinya buruk. Satu laman web mungkin menawarkan pilihan sambungan RC4 daripada keperluan untuk keserasian dengan penyemak imbas tertentu supaya menggunakan kedudukan laman web sebagai panduan, bukan perisytiharan keselamatan besi atau kekurangannya.
Mengemas kini Cipher Suite anda
Kami telah menutup latar belakang, sekarang mari kita tangan kotor. Mengemas kini pilihan suite yang disediakan oleh pelayan Windows anda tidak semestinya mudah, tetapi ia juga tidak susah.
Untuk memulakan, tekan Windows Key + R untuk membuka kotak dialog "Jalankan". Taip "gpedit.msc" dan klik "OK" untuk melancarkan Editor Dasar Kumpulan. Di sinilah kita akan membuat perubahan.
Di sebelah kiri, memperluaskan Konfigurasi Komputer, Templat Pentadbiran, Rangkaian, dan kemudian klik pada Tetapan Tatarajah SSL.
Di sebelah kanan, klik dua kali pada Perintah Suite Cipher SSL.
Secara lalai, butang "Tidak Dikonfigurasikan" dipilih. Klik pada butang "Diaktifkan" untuk mengedit Cipher Suites pelayan anda.
Medan SSL Cipher Suites akan mengisi teks apabila anda mengklik butang. Sekiranya anda ingin melihat Cipher Suites yang sedang ditawarkan oleh pelayan anda, salin teks dari medan SSL Cipher Suites dan tampalkannya ke Notepad. Teks itu akan berada dalam satu panjang, rentetan tak terputus. Setiap opsyen penyulitan dipisahkan oleh koma. Meletakkan setiap pilihan pada barisnya sendiri akan membuat senarai mudah dibaca.
Anda boleh melalui senarai dan menambah atau mengalih keluar kandungan anda dengan satu sekatan; senarai tidak boleh melebihi 1,023 aksara. Ini amat menjengkelkan kerana suite cipher mempunyai nama panjang seperti "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", jadi pilih dengan teliti. Saya cadangkan menggunakan senarai yang disusun oleh Steve Gibson di GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Setelah anda melengkapkan senarai anda, anda perlu memformatnya untuk digunakan. Seperti senarai asal, yang baru anda perlu menjadi satu rentetan aksara yang tidak terputus dengan setiap cipher yang dipisahkan oleh koma. Salin teks yang diformatkan anda dan tampalkannya ke dalam bidang SSL Cipher Suites dan klik OK. Akhirnya, untuk membuat perubahan stick, anda perlu reboot.
Dengan pelayan anda kembali dan berjalan, tuju ke Labs SSL dan ujinya. Sekiranya semuanya berjalan lancar, hasilnya akan memberi anda penilaian A.
Jika anda ingin sesuatu yang lebih visual, anda boleh memasang Crypto IIS oleh Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Permohonan ini akan membolehkan anda membuat perubahan yang sama seperti langkah-langkah di atas. Ia juga membolehkan anda mengaktifkan atau melumpuhkan ciphers berdasarkan pelbagai kriteria supaya anda tidak perlu meneruskannya secara manual.
Tidak kira bagaimana anda melakukannya, mengemas kini Cipher Suites anda adalah cara mudah untuk meningkatkan keselamatan untuk anda dan pengguna akhir anda.