Jak zaktualizować pakiet szyfrowania systemu Windows Server, aby zwiększyć bezpieczeństwo

Prowadzisz szanowaną stronę internetową, której mogą ufać Twoi użytkownicy. Dobrze? Możesz to sprawdzić dwukrotnie. Jeśli Twoja witryna działa w Internetowych usługach informacyjnych firmy Microsoft (IIS), możesz być zaskoczony. Gdy użytkownicy próbują połączyć się z serwerem za pośrednictwem bezpiecznego połączenia (SSL / TLS), możesz nie zapewniać im bezpiecznej opcji.

Zapewnienie lepszego zestawu algorytmów szyfrowania jest bezpłatne i łatwe do skonfigurowania. Wystarczy postępować zgodnie z instrukcjami, aby chronić swoich użytkowników i serwer. Dowiesz się również, jak przetestować używane usługi, aby sprawdzić, czy naprawdę są bezpieczne.

Dlaczego Twoje zestawy szyfrów są ważne

Microsoft IIS jest całkiem niezły. Jest łatwy w konfiguracji i obsłudze. Ma przyjazny dla użytkownika interfejs graficzny, który sprawia, że ​​konfiguracja jest bardzo prosta. Działa w systemie Windows. Usługi IIS naprawdę mają wiele do zaoferowania, ale naprawdę spadają, jeśli chodzi o domyślne ustawienia zabezpieczeń.

Oto, jak działa bezpieczne połączenie. Twoja przeglądarka inicjuje bezpieczne połączenie z witryną. Najłatwiej jest to zidentyfikować na podstawie adresu URL zaczynającego się od "HTTPS: //". Firefox oferuje trochę ikony kłódki, aby zilustrować ten punkt dalej. Chrome, Internet Explorer i Safari mają podobne metody powiadamiania, że ​​twoje połączenie jest szyfrowane. Serwer, z którym łączysz się, odpowiada na przeglądarkę z listą opcji szyfrowania do wyboru w kolejności od najbardziej preferowanej do najmniejszej. Twoja przeglądarka przeszukuje całą listę, aż znajdzie ulubioną opcję szyfrowania, a my jesteśmy wyłączeni. Reszta, jak mówią, to matematyka. (Nikt tak nie mówi.)

Fatalną wadą jest to, że nie wszystkie opcje szyfrowania są tworzone jednakowo. Niektórzy używają naprawdę świetnych algorytmów szyfrowania (ECDH), inni są mniej świetni (RSA), a niektórzy są po prostu źle poinformowani (DES). Przeglądarka może łączyć się z serwerem przy użyciu dowolnej z opcji dostarczanych przez serwer. Jeśli twoja strona oferuje niektóre opcje ECDH, ale także niektóre opcje DES, twój serwer się połączy. Prosta czynność polegająca na oferowaniu tych złych opcji szyfrowania sprawia, że ​​witryna, serwer i użytkownicy są potencjalnie narażeni na ataki. Niestety, domyślnie usługi IIS udostępniają dość słabe opcje. Nie katastrofalne, ale zdecydowanie nie dobre.

Jak zobaczyć, gdzie stoisz

Zanim zaczniemy, możesz chcieć wiedzieć, gdzie stoi Twoja witryna. Na szczęście dobrzy ludzie w Qualys zapewniają bezpłatne usługi laboratoriów SSL każdemu z nas. Jeśli przejdziesz do https://www.ssllabs.com/ssltest/, możesz zobaczyć, w jaki sposób serwer odpowiada na żądania HTTPS. Możesz także sprawdzić, w jaki sposób usługi, z których korzystasz, regularnie się stosują.

Jedna uwaga tutaj. To, że strona nie otrzymuje oceny A, nie oznacza, że ​​ludzie, którzy z niej korzystają, wykonują złą robotę. SSL Labs potępia RC4 jako słaby algorytm szyfrowania, mimo że nie są znane żadne ataki przeciwko niemu. To prawda, że ​​jest mniej odporny na próby brutalnej siły niż coś takiego jak RSA czy ECDH, ale niekoniecznie jest zły. Witryna może oferować opcję połączenia RC4 z konieczności zgodności z niektórymi przeglądarkami, więc użyj rankingu witryn jako wytycznej, a nie żelaznej deklaracji bezpieczeństwa lub jej braku.

Aktualizowanie swojego zestawu szyfrów

Omówiliśmy tło, a teraz zabierzmy ręce. Aktualizowanie zestawu opcji udostępnianych przez serwer Windows niekoniecznie jest proste, ale zdecydowanie nie jest też trudne.

Aby rozpocząć, naciśnij Klawisz Windows + R, aby wywołać okno dialogowe "Uruchom". Wpisz "gpedit.msc" i kliknij "OK", aby uruchomić Edytor zasad grupy. Tutaj dokonamy zmian.

Po lewej stronie rozwiń pozycję Konfiguracja komputera, Szablony administracyjne, Sieć, a następnie kliknij Ustawienia konfiguracji SSL.

Po prawej stronie kliknij dwukrotnie polecenie SSL Cipher Suite Order.

Domyślnie wybrany jest przycisk "Nie skonfigurowano". Kliknij przycisk "Enabled", aby edytować pakiety szyfrowania na serwerze.

Po kliknięciu przycisku pole SSL Cipher Suites zostanie wypełnione tekstem. Jeśli chcesz sprawdzić, jakie pakiety szyfrowania obecnie oferuje twój serwer, skopiuj tekst z pola SSL Cipher Suites i wklej go do Notatnika. Tekst będzie w jednym długim, nieprzerwanym łańcuchu. Każda z opcji szyfrowania jest oddzielona przecinkiem. Umieszczenie każdej opcji w osobnym wierszu spowoduje, że lista będzie łatwiejsza do odczytania.

Możesz przeglądać listę i dodawać lub usuwać do treści swojego serca jednym ograniczeniem; lista nie może być dłuższa niż 1023 znaki. Jest to szczególnie denerwujące, ponieważ zestawy algorytmów szyfrowania mają długie nazwy, takie jak "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", więc wybierz ostrożnie. Polecam używanie listy stworzonej przez Steve'a Gibsona na stronie GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Po przejrzeniu listy należy ją sformatować do użycia. Podobnie jak w przypadku pierwotnej listy, twój nowy musi być jednym nieprzerwanym ciągiem znaków z każdym szyfrem oddzielonym przecinkiem. Skopiuj sformatowany tekst i wklej go do pola SSL Cipher Suites i kliknij OK. Na koniec, aby wprowadzić zmianę, musisz zrestartować komputer.

Po ponownym uruchomieniu serwera przejdź do protokołu SSL Labs i przetestuj go. Jeśli wszystko poszło dobrze, wyniki powinny dać ocenę A.

Jeśli chcesz coś bardziej wizualnego, możesz zainstalować IIS Crypto by Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ta aplikacja pozwoli ci wprowadzić te same zmiany, co powyższe kroki. Umożliwia także włączanie i wyłączanie szyfrów w oparciu o różne kryteria, dzięki czemu nie trzeba ich ręcznie przeglądać.

Niezależnie od tego, jak to zrobisz, aktualizacja zestawów szyfrów to prosty sposób na poprawę bezpieczeństwa dla Ciebie i Twoich użytkowników końcowych.