Startpagina » hoe » Hoe u uw Windows Server Cipher Suite voor betere beveiliging kunt bijwerken

    Hoe u uw Windows Server Cipher Suite voor betere beveiliging kunt bijwerken

    U voert een respectabele website uit die uw gebruikers kunnen vertrouwen. Rechts? Misschien wil je dat twee keer controleren. Als uw site op Microsoft Internet Information Services (IIS) wordt uitgevoerd, kunt u een verrassing verwachten. Wanneer uw gebruikers proberen verbinding te maken met uw server via een beveiligde verbinding (SSL / TLS), biedt u hen mogelijk geen veilige optie.

    Het verstrekken van een betere coderingssuite is gratis en vrij eenvoudig in te stellen. Volg deze stapsgewijze handleiding om uw gebruikers en uw server te beschermen. U leert ook hoe u de services die u gebruikt, kunt testen om te zien hoe veilig ze werkelijk zijn.

    Waarom uw Cipher-suites belangrijk zijn

    IIS van Microsoft is behoorlijk goed. Het is gemakkelijk in te stellen en te onderhouden. Het heeft een gebruikersvriendelijke grafische interface die de configuratie een fluitje van een cent maakt. Het werkt op Windows. IIS heeft echt veel te bieden, maar valt echt plat als het gaat om beveiligingsinstellingen.

    Hier leest u hoe een beveiligde verbinding werkt. Uw browser start een beveiligde verbinding met een site. Dit wordt het gemakkelijkst geïdentificeerd door een URL die begint met "HTTPS: //". Firefox biedt een klein hangslotpictogram om het punt verder te illustreren. Chrome, Internet Explorer en Safari hebben allemaal vergelijkbare methoden om u te laten weten dat uw verbinding is gecodeerd. De server waarmee u verbinding maakt, beantwoordt uw browser met een lijst met coderingsopties waaruit u kunt kiezen in de volgorde van de meest gewenste tot de minstste. Uw browser gaat door de lijst totdat een gewenste versleutelingsoptie wordt gevonden en we zijn uitgeschakeld. De rest, zoals ze zeggen, is wiskunde. (Niemand zegt dat.)

    De fatale fout hierin is dat niet alle versleutelingsopties gelijk worden gecreëerd. Sommige gebruiken echt geweldige versleutelingsalgoritmen (ECDH), andere zijn minder groot (RSA) en sommige zijn slechts slecht geadviseerd (DES). Een browser kan verbinding maken met een server met behulp van een van de opties die de server biedt. Als uw site enkele ECDH-opties biedt, maar ook enkele DES-opties, maakt uw server verbinding met een van beide. De eenvoudige handeling van het aanbieden van deze slechte coderingsopties maakt uw site, uw server en uw gebruikers potentieel kwetsbaar. Helaas biedt IIS standaard nogal slechte opties. Niet catastrofaal, maar zeker niet goed.

    Hoe te zien waar u staat

    Voordat we beginnen, wilt u wellicht weten waar uw site staat. Gelukkig bieden de goede mensen van Qualys gratis SSL Labs aan iedereen. Als u naar https://www.ssllabs.com/ssltest/ gaat, kunt u precies zien hoe uw server reageert op HTTPS-aanvragen. U kunt ook zien hoe de services die u gebruikt regelmatig worden opgestart.

    Een waarschuwing hier. Alleen omdat een site geen A-beoordeling krijgt, betekent niet dat de mensen die ze gebruiken slecht werk doen. SSL Labs beschrijft RC4 als zwak coderingsalgoritme, hoewel er geen bekende aanvallen tegen zijn. Zeker, het is minder resistent tegen brute force-pogingen dan iets als RSA of ECDH, maar het is niet noodzakelijk slecht. Een site kan een RC4-verbindingsoptie aanbieden uit noodzaak voor compatibiliteit met bepaalde browsers, dus gebruik de ranglijsten van de sites als richtlijn, geen ijzeren beklede veiligheidsverklaring of gebrek daaraan.

    Uw coderingssuite bijwerken

    We hebben de achtergrond besproken, laten we nu onze handen vies maken. Het bijwerken van de reeks opties die uw Windows-server biedt, is niet noodzakelijk eenvoudig, maar zeker ook niet moeilijk.

    Om te beginnen, druk op Windows Key + R om het dialoogvenster "Uitvoeren" te openen. Typ "gpedit.msc" en klik op "OK" om de Groepsbeleid-editor te starten. Dit is waar we onze wijzigingen zullen aanbrengen.

    Vouw aan de linkerkant Computerconfiguratie, Beheersjablonen, Netwerk uit en klik vervolgens op SSL-configuratie-instellingen.

    Dubbelklik aan de rechterkant op SSL Cipher Suite Order.

    Standaard is de knop "Niet geconfigureerd" geselecteerd. Klik op de knop "Ingeschakeld" om de Cipher Suites van uw server te bewerken.

    Het veld SSL Cipher Suites vult met tekst als u op de knop klikt. Als u wilt zien wat Cipher Suites momenteel door uw server wordt aangeboden, kopieer dan de tekst uit het SSL Cipher Suites-veld en plak deze in Kladblok. De tekst bevindt zich in een lange, ononderbroken reeks. Elk van de coderingsopties wordt gescheiden door een komma. Als u elke optie op een eigen regel zet, wordt de lijst gemakkelijker leesbaar.

    U kunt de lijst doorlopen en met één beperking naar hartelust toevoegen of verwijderen; de lijst mag niet meer dan 1.023 tekens bevatten. Dit is vooral vervelend omdat de versleutelingssuites lange namen hebben zoals "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", dus kies zorgvuldig. Ik raad aan de lijst te gebruiken die door Steve Gibson is samengesteld op GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

    Nadat u uw lijst hebt samengesteld, moet u deze formatteren voor gebruik. Net als de oorspronkelijke lijst, moet je nieuwe één ongebroken reeks tekens zijn met elk cijfer gescheiden door een komma. Kopieer de opgemaakte tekst en plak deze in het SSL Cipher Suites-veld en klik op OK. Tot slot, om de wijziging te laten doorgaan, moet je opnieuw opstarten.

    Ga met uw server weer aan de slag naar SSL Labs en test het uit. Als alles goed is gegaan, zouden de resultaten u een A-beoordeling moeten geven.

    Als u iets meer visueel wilt, kunt u IIS Crypto installeren door Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Met deze applicatie kunt u dezelfde wijzigingen aanbrengen als bij de bovenstaande stappen. Het laat je ook toe om cijfers in of uit te schakelen op basis van verschillende criteria, zodat je ze niet handmatig hoeft te doorlopen.

    Ongeacht hoe u het doet, het bijwerken van uw Cipher Suites is een eenvoudige manier om de veiligheid voor u en uw eindgebruikers te verbeteren.