Daha İyi Güvenlik için Windows Server Şifre Paketi'nizi Güncelleştirme

Kullanıcılarınızın güvenebileceği saygın bir web sitesi işletiyorsunuz. Sağ? Bunu tekrar kontrol etmek isteyebilirsin. Siteniz Microsoft Internet Information Services (IIS) üzerinde çalışıyorsa, bir sürprizle karşı karşıya olabilirsiniz. Kullanıcılarınız sunucunuza güvenli bir bağlantı (SSL / TLS) üzerinden bağlanmayı denediğinde, güvenli bir seçenek sunmuyor olabilirsiniz..

Daha iyi bir şifre takımı sağlamak ücretsiz ve kurulumu oldukça kolaydır. Kullanıcılarınızı ve sunucunuzu korumak için bu adımı adım adım kılavuz izleyin. Ayrıca, gerçekten güvenli olduklarını görmek için kullandığınız hizmetleri nasıl test edeceğinizi de öğreneceksiniz..

Cipher Suites'in Neden Önemli?

Microsoft'un IIS oldukça iyi. Kurulumu ve bakımı kolaydır. Konfigürasyonu bir esinti yapan, kullanıcı dostu bir grafik arayüzü var. Windows üzerinde çalışır. IIS gerçekten bunun için çok şey var, ancak güvenlik varsayılanlarına gelince gerçekten düştü.

İşte güvenli bir bağlantının çalışması. Tarayıcınız siteyle güvenli bir bağlantı kuruyor. Bu en kolay “HTTPS: //” ile başlayan bir URL ile tanımlanır. Firefox, noktayı daha fazla açıklamak için küçük bir kilit simgesi sunuyor. Chrome, Internet Explorer ve Safari, bağlantınızın şifreli olduğunu bildirmek için benzer yöntemlere sahiptir. Bağlandığınız sunucu, tarayıcınıza, en çok tercih edilenden en az birine göre seçilebilecek bir şifreleme seçenekleri listesi ile yanıt verir. Tarayıcınız, beğendikleri bir şifreleme seçeneği bulana kadar listeye girer ve biz çalışıyoruz. Gerisi, dedikleri gibi, matematik. (Kimse öyle demedi.)

Buradaki ölümcül kusur, tüm şifreleme seçeneklerinin eşit şekilde yaratılmamasıdır. Bazıları gerçekten harika şifreleme algoritmaları (ECDH) kullanıyor, bazıları daha az harika (RSA), bazıları ise sadece tavsiye ediliyor (DES). Bir tarayıcı, sunucunun sağladığı seçeneklerden herhangi birini kullanarak bir sunucuya bağlanabilir. Siteniz bazı ECDH seçenekleri ve aynı zamanda bazı DES seçenekleri sunuyorsa, sunucunuz her ikisine de bağlanacaktır. Bu kötü şifreleme seçeneklerini sunmanın basit yolu sitenizi, sunucunuzu ve kullanıcılarınızı potansiyel olarak savunmasız hale getirir. Ne yazık ki, varsayılan olarak, IIS oldukça zayıf seçenekler sunar. Felaket değil, ama kesinlikle iyi değil.

Nerede Durduğunuzu Nasıl Görünürsünüz?

Başlamadan önce, sitenizin nerede durduğunu bilmek isteyebilirsiniz. Neyse ki Qualys'teki iyi insanlar hepimize ücretsiz olarak SSL Labs sağlıyorlar. Https://www.ssllabs.com/ssltest/ adresine giderseniz, sunucunuzun HTTPS isteklerine nasıl yanıt verdiğini tam olarak görebilirsiniz. Ayrıca düzenli olarak kullandığınız servisleri nasıl biriktirdiğinizi de görebilirsiniz..

Bir uyarı notu burada. Sadece bir sitenin A notu almaması, onları yöneten kişilerin kötü bir iş yaptıkları anlamına gelmez. SSL Labs, RC4'ü, kendisine karşı bilinen bir saldırı olmamasına rağmen zayıf bir şifreleme algoritması olarak çarptı. Doğru, kaba kuvvet girişimlerine RSA veya ECDH gibi bir şeyden daha az dirençli, ancak mutlaka fena değil. Bir site, bazı tarayıcılarla uyumluluk zorunluluğu dışında bir RC4 bağlantı seçeneği sunabilir, bu nedenle site sıralamasını bir güvenlik amaçlı kullanım veya demirli olmayan bir beyanname olarak değil, bir kılavuz olarak kullanın.

Cipher Suite'inizi Güncellemek

Arka planı kapattık, şimdi ellerini kirletelim. Windows sunucunuzun sunduğu seçeneklerin güncellenmesi mutlaka kolay değildir, ancak kesinlikle zor da değildir..

Başlamak için, "Çalıştır" iletişim kutusunu getirmek için Windows Tuşu + R tuşlarına basın. Grup İlkesi Düzenleyicisi'ni başlatmak için “gpedit.msc” yazın ve “Tamam” ı tıklayın. Burası değişiklik yapacağımız yer.

Sol tarafta, Bilgisayar Yapılandırması, Yönetim Şablonları, Ağ'ı genişletin ve ardından SSL Yapılandırma Ayarları'nı tıklayın..

Sağ tarafta, SSL Cipher Suite Order'a çift tıklayın.

Varsayılan olarak, “Yapılandırılmadı” düğmesi seçilidir. Sunucunuzun Şifre Paketlerini düzenlemek için “Etkin” düğmesine tıklayın.

Düğmeyi tıkladığınızda, SSL Şifreleme Süitler alanı metinle doldurulur. Sunucunuzda şu anda hangi Cipher Suites'in sunduğunu görmek istiyorsanız, metni SSL Cipher Suites alanından kopyalayın ve Not Defteri'ne yapıştırın. Metin bir uzun, kırılmamış dizgide olacaktır. Şifreleme seçeneklerinin her biri virgülle ayrılmıştır. Her seçeneği kendi satırına koymak listenin okunmasını kolaylaştıracak.

Listeye göz atabilir ve bir kısıtlama ile kalbin içeriğine ekleyebilir veya kaldırabilirsiniz; liste 1.023 karakterden fazla olamaz. Bu özellikle can sıkıcıdır çünkü şifre takımları “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384” gibi uzun adlara sahiptir, bu yüzden dikkatlice seçin. GRC.com'da Steve Gibson tarafından bir araya getirilen listeyi kullanmanızı tavsiye ederim: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Listenizi küllendirdikten sonra, kullanım için biçimlendirmeniz gerekir. Orijinal liste gibi, yeni listenizde, her bir şifre virgülle ayrılmış olarak kırılmamış bir karakter dizisi olması gerekir. Biçimlendirilmiş metninizi kopyalayın ve SSL Şifreleme Süitler alanına yapıştırın ve Tamam'ı tıklatın. Sonunda, değişiklik yapışmasını sağlamak için yeniden başlatmanız gerekir..

Sunucunuz yedeklenirken çalışır durumdayken, SSL Laboratuarlarına gidin ve test edin. Her şey yolunda giderse, sonuçlar size A notu vermelidir.

Daha görsel bir şey istiyorsanız, IIS Crypto'yu Nartac ile yükleyebilirsiniz (https://www.nartac.com/Products/IISCrypto/Default.aspx). Bu uygulama, yukarıdaki adımlarla aynı değişiklikleri yapmanıza izin verecektir. Ayrıca, çeşitli ölçütlere göre şifreleri etkinleştirmenize veya devre dışı bırakmanıza olanak tanır; böylece bunları el ile yapmanız gerekmez.

Nasıl yaparsanız yapın, Cipher Suites'inizi güncellemek sizin ve son kullanıcılarınız için güvenliği artırmanın kolay bir yoludur..