da.phhsnews.com


da.phhsnews.com / Sådan opdaterer du Windows Server Cipher Suite til bedre sikkerhed

Sådan opdaterer du Windows Server Cipher Suite til bedre sikkerhed


Du driver et respektabelt websted, som dine brugere kan stole på. Højre? Du kan måske dobbelttjekke det. Hvis dit websted kører på Microsoft Internet Information Services (IIS), kan du være i en overraskelse. Når dine brugere forsøger at oprette forbindelse til din server via en sikker forbindelse (SSL / TLS), kan du muligvis ikke give dem en sikker mulighed.

Det er gratis og ret nemt at opsætte en bedre chiffer-suite. Bare følg denne vejledning for at beskytte dine brugere og din server. Du vil også lære at teste de tjenester, du bruger til at se, hvor sikkert de virkelig er.

Hvorfor dine Cipher Suites er vigtige

Microsofts IIS er ret stor. Det er både nemt at opsætte og vedligeholde. Den har en brugervenlig grafisk grænseflade, der gør konfigurationen til en leg. Det kører på Windows. IIS har virkelig meget at gøre for det, men falder virkelig fladt når det gælder sikkerhedsstandarder.

Sådan virker en sikker forbindelse. Din browser initierer en sikker forbindelse til et websted. Dette er bedst muligt identificeret ved hjælp af en URL, der begynder med " //". Firefox tilbyder et lille låsikon for at illustrere punktet yderligere. Chrome, Internet Explorer og Safari har alle samme metoder til at fortælle dig, at din forbindelse er krypteret. Den server, du forbinder til svar på din browser, med en liste over krypteringsindstillinger at vælge imellem i den mest foretrukne til mindst. Din browser går ned på listen, indtil den finder en krypteringsindstilling, den kan lide, og vi er ude og kører. Resten, som de siger, er matematik. (Ingen siger det.)

Den fatale fejl i dette er, at ikke alle krypteringsindstillingerne oprettes lige. Nogle bruger rigtig gode krypteringsalgoritmer (ECDH), andre er mindre store (RSA), og nogle er kun uvisse (DES). En browser kan oprette forbindelse til en server ved hjælp af en af ​​de muligheder, serveren tilbyder. Hvis dit websted tilbyder nogle ECDH-muligheder, men også nogle DES-indstillinger, vil din server forbinde enten. Den enkle handling at tilbyde disse dårlige krypteringsmuligheder gør dit websted, din server og dine brugere potentielt sårbare. Desværre har IIS som standard nogle ret dårlige muligheder. Ikke katastrofalt, men absolut ikke godt.

Sådan ser du hvor du står

Før vi starter, vil du måske vide, hvor dit websted står. Heldigvis tilbyder de gode folk på Qualys SSL Labs til os alle gratis. Hvis du går til //www.ssllabs.com/ssltest/, kan du se præcis, hvordan din server reagerer på HTTPS-anmodninger. Du kan også se, hvordan tjenester, du bruger regelmæssigt, sætter dig op.

En advarsel her. Bare fordi et websted ikke modtager en A-rating, betyder det ikke, at folk, der kører dem, laver et dårligt job. SSL Labs slammer RC4 som en svag krypteringsalgoritme, selv om der ikke er kendte angreb mod det. Det er sandt, at det er mindre modstandsdygtigt over for brutale kraftforsøg end noget som RSA eller ECDH, men det er ikke nødvendigvis dårligt. Et websted kan tilbyde en RC4-tilslutningsmulighed uden behov for kompatibilitet med bestemte browsere, så brug webstedernes placering som en retningslinje, ikke en jernklædt sikkerhedserklæring eller mangel på det.

Opdatering af Cipher Suite

Vi har dækket baggrunden, lad os nu få vores hænder snavset. Opdatering af pakken af ​​muligheder, som din Windows-server giver, er ikke nødvendigvis ligetil, men det er heller ikke svært.

For at starte, skal du trykke på Windows-tast + R for at hente dialogboksen "Kør". Skriv "gpedit.msc" og klik på "OK" for at starte Gruppepolicy Editor. Det er her, vi foretager vores ændringer.

På venstre side skal du udvide Computer Configuration, Administrative Skabeloner, Netværk og derefter klikke på SSL Configuration Settings.

Dobbeltklik på SSL Cipher på højre side. Suite Order.

Som standard vælges knappen "Ikke konfigureret". Klik på knappen "Enabled" for at redigere din server Cipher Suites.

Feltet SSL Cipher Suites fylder med tekst, når du klikker på knappen. Hvis du vil se, hvad Cipher Suites din server tilbyder, skal du kopiere teksten fra feltet SSL Cipher Suites og indsætte det i Notesblok. Teksten kommer i en lang, ubrudt streng. Hver af krypteringsindstillingerne er adskilt af et komma. Hvis du sætter hver indstilling på egen linje, bliver listen lettere at læse.

Du kan gå gennem listen og tilføje eller fjerne til dit hjertes indhold med en begrænsning; listen kan ikke være mere end 1.023 tegn. Dette er især irriterende, fordi chiffer-suiterne har lange navne som "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", så vælg omhyggeligt. Jeg anbefaler at bruge listen samlet af Steve Gibson over på GRC.com: //www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Når du har curated din liste, skal du formatere den til brug . Ligesom den oprindelige liste skal din nye være en ubrudt tegnstreng med hver kryptering adskilt af et komma. Kopier din formaterede tekst og indsæt den i feltet SSL Cipher Suites og klik på OK. Endelig skal du genstarte for at gøre forandringspinden.

Med din server igen, kører du over til SSL Labs og tester den. Hvis alt gik godt, skal resultaterne give dig en A-vurdering.

Hvis du vil have noget mere visuelt, kan du installere IIS Crypto af Nartac (//www.nartac.com/Products/IISCrypto/Default .aspx). Denne applikation giver dig mulighed for at lave de samme ændringer som ovenstående trin. Det giver dig også mulighed for at aktivere eller deaktivere cifre baseret på en række kriterier, så du ikke behøver at gennemgå dem manuelt.

Uanset hvordan du gør det, er opdateringen af ​​dine Cipher Suites en nem måde at forbedre sikkerheden for dig og Dine slutbrugere.


Opgradering af din bærbare harddisk

Opgradering af din bærbare harddisk

Opgradering af din laptop harddisk er en fantastisk måde at få lidt ekstra liv ud af en gammel maskine (eller genoplive en død). Læs videre, når vi går igennem prep-arbejdet, installationen og opfølgningen. Hvorfor vil jeg gøre dette? Den mest oplagte grund til, at du vil opgradere din bærbare harddisk, er fordi den gamle er døende (eller er allerede død).

(how-to)

Skulle du nogensinde deaktivere en Windows-tjeneste?

Skulle du nogensinde deaktivere en Windows-tjeneste?

Hvis du nogensinde har søgt efter måder at gøre din Windows-computer hurtigere, har du sandsynligvis kørt på tværs af flere websteder, der tyder på at slukke eller deaktivere visse Windows-tjenester. Andre websteder siger, at det er farligt, og du bør aldrig rodde med Windows-tjenester. Så hvem er korrekt?Nå, argu

(How-to)