Kaip atnaujinti savo Windows Server Cipher Suite geresnį saugumą
Video: Kaip atnaujinti savo Windows Server Cipher Suite geresnį saugumą
Video: How To Change Default System Font In Windows 10 - YouTube 2024, Balandis
2024 Autorius: Geoffrey Carr | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:53
Jūs naudojate gerbiamą tinklalapį, kurį naudotojai gali pasitikėti. Tiesa? Galbūt norėsite dukart patikrinti tai. Jei jūsų svetainė veikia "Microsoft Internet Information Services" (IIS), jums gali tekti nustebinti. Kai jūsų vartotojai bando prisijungti prie jūsų serverio per saugų ryšį (SSL / TLS), galbūt jų nebus užtikrinta.
Geresnio šifravimo rinkinio teikimas yra nemokamas ir labai lengvas nustatymas. Tiesiog atlikite šį žingsnis po žingsnio vadovo, kad apsaugotumėte savo vartotojus ir savo serverį. Taip pat sužinosite, kaip išbandyti naudojamas paslaugas, kad sužinotumėte, kokie jie tikrai yra.
Kodėl jūsų Cipher Suites yra svarbūs
Microsoft IIS yra gana puikiai. Tai lengva nustatyti ir palaikyti. Ji turi patogią grafinę sąsają, kuri leidžia konfigūruoti vėją. Jis veikia "Windows". IIS iš tikrųjų daug nuveikia, bet iš tikrųjų blogėja, kai kalbama apie saugumo numatytus atvejus.
Štai kaip veikia saugus ryšys. Jūsų naršyklė inicijuoja saugų ryšį su svetaine. Tai lengviau atpažįsta URL, prasidedantis "HTTPS: //". Firefox siūlo šiek tiek užrakto piktogramą, kuri iliustruoja tašką toliau. Visi "Chrome", "Internet Explorer" ir "Safari" turi panašius metodus, leidžiančius jums žinoti, kad jūsų ryšys yra užkoduotas. Serveris, prie kurio prisijungiate prie atsakymų į savo naršyklę, su šifravimo parinkčių sąrašu, kad pasirinktumėte pagal labiausiai pageidaujamą mažiausiai. Jūsų naršyklė nusileidžia sąraše, kol ji suranda pasirinktą šifravimo parinktį, o mes išjungiame ir veikia. Kiti, kaip sakoma, yra matematika. (Niekas nesako, kad.)
Galutinis trūkumas yra tai, kad ne visos šifravimo parinktys yra sukurtos vienodai. Kai kurie iš jų naudoja labai gerus šifravimo algoritmus (ECDH), kiti yra mažiau geri (RSA), o kai kurie iš jų yra nesaugūs (DES). Naršyklė gali prisijungti prie serverio naudodamiesi bet kuria serverio parinktimi. Jei jūsų svetainėje siūlomos kai kurios ECDH parinktys, bet ir kai kurios DES galimybės, jūsų serveris prisijungs prie bet kurio. Paprastas šių blogų šifravimo parinkčių pasiūlymas daro potencialiai pažeidžiamą jūsų svetainę, jūsų serverį ir jūsų vartotojus. Deja, IIS pagal nutylėjimą pateikia keletą gana blogų parinkčių. Ne katastrofiškas, bet tikrai ne geras.
Kaip pamatyti, kur stovi
Prieš pradėdami, galbūt norėsite sužinoti, kur stovi jūsų svetainė. Laimei, "Qualys" geri žmonės visiems mums nemokamai teikia SSL laboratorijas. Jei eisi į https://www.ssllabs.com/ssltest/, galite tiksliai pamatyti, kaip jūsų serveris reaguoja į HTTPS užklausas. Taip pat galite sužinoti, kaip dažnai naudojamos jūsų paslaugos.
Viena pastaba apie atsargumą čia. Tiesiog todėl, kad svetainė negauna "A" įvertinimo, nereiškia, kad žmonės, vykdantys juos, blogai dirba. "SSL Labs" slankioja RC4 kaip silpnas šifravimo algoritmas, nors nėra jokių žinomų išpuolių prieš jį. Tiesa, tai yra mažiau atsparus sunkių jėgų bandymams nei kažkas panašaus į RSA ar ECDH, tačiau tai nebūtinai yra bloga. Svetainė gali pasiūlyti RC4 ryšio parinktį, kad nebūtų suderinama su tam tikromis naršyklėmis, taigi naudokite svetainių reitingus kaip gaires, o ne geležiniuose plakiruotuose saugumo deklaracijose ar jų nebuvimo.
Jūsų Cipher Suite atnaujinimas
Mes užfiksavome fone, o dabar purvinsime rankas. "Windows" serverio parinkčių rinkinio atnaujinimas nebūtinai yra paprastas, bet tai nėra sunku.
Norėdami pradėti, paspauskite "Windows" mygtuką + R, kad atidarytumėte dialogo langą "Vykdyti". Įveskite "gpedit.msc" ir spustelėkite "Gerai", kad paleistumėte "Group Policy Editor". Čia mes atliksime pakeitimus.Kairėje pusėje išplėskite "Kompiuterio konfigūracija", "Administravimo šablonai", "Tinklas", tada spustelėkite SSL konfigūravimo nustatymus.Dešinėje pusėje dukart spustelėkite SSL Cipher Suite Order.Pagal numatytuosius nustatymus pasirinktas mygtukas "Nekonfigūruotas". Norėdami redaguoti serverio "Cipher Suites", spustelėkite mygtuką "Įgalinta".SSL Cipher rinkinys užpildys tekstą, kai spustelėsite mygtuką. Jei norite sužinoti, kokį "Cipher" rinkinį šiuo metu siūlo jūsų serveris, nukopijuokite tekstą iš SSL Cipher rinkinių lauko ir įklijuokite jį į "Notepad". Tekstas bus vienoje ilgoje, tvirtoje eilutėje. Kiekviena šifravimo parinktis yra atskirta kableliu. Kiekvieną pasirinkimą įtraukus į savo eilutę bus lengviau skaityti sąrašą.
Galite pereiti į sąrašą ir pridėti arba pašalinti į savo širdies turinį su vienu apribojimu; sąrašas negali būti didesnis kaip 1023 simboliai. Tai ypač erzina, nes šifravimo apartamentai jau seniai pavadino "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", todėl atsargiai pasirinkite. Rekomenduoju naudoti Steve Gibsono sudarytą sąrašą GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Sukūrę savo sąrašą, turėsite jį formatuoti naudoti. Panašiai kaip ir pradiniame sąraše, jūsų naujasis turi būti viena nesudėtinga simbolių eilutė su kiekvienu šifru, atskirtu kableliu. Nukopijuokite formatuotą tekstą ir įklijuokite jį lauke SSL Cipher Suites ir spustelėkite Gerai. Galiausiai, norėdami pakeisti pakeitimą, turite paleisti iš naujo.
Kai jūsų serveris grįš į darbą ir paleidžiamas, eikite į "SSL Labs" ir išbandykite. Jei viskas vyko gerai, rezultatai turėtų suteikti jums reitingą.
Jei norite, kad kažkas būtų šiek tiek daugiau vaizdinio, galite įdiegti "IIS Crypto" Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ši programa leis jums atlikti tuos pačius pakeitimus, kaip nurodyta pirmiau. Tai taip pat leidžia įjungti arba išjungti siurblius, atsižvelgiant į įvairius kriterijus, todėl nereikia rankiniu būdu pereiti prie jų.
Nepriklausomai nuo to, kaip tai darote, "Cipher Suites" atnaujinimas yra paprastas būdas pagerinti saugumą jums ir jūsų galutiniams vartotojams.
Taigi, turite apsaugoti savo sistemą nuo virusų, jūsų ugniasienė yra išjungta, jūsų naršyklės papildiniai yra naujausios, be to, nėra jokių saugumo pataisymų. Bet kaip gali būti tikri, kad jūsų gynyba iš tikrųjų veikia taip pat, kaip jūs manote, kad jie yra?
Su visomis mūsų interneto paskyromis lengva gauti tingą ir pradėti naudoti tą patį slaptažodį kelioms svetainėms, paslaugoms ir paskyroms, nes bijo pamiršti svarbų slaptažodį. Tačiau tai gali pakenkti jūsų asmeninei informacijai.
Patarimai ir gudrybės pradedantiesiems optimizuoti "Windows 10/8/7" ir padaryti jį greičiau ir geriau. Laikui bėgant "Windows" tampa lėtas; išlaikyti greitį!
"Windows Hello" daro "Windows 10" kompiuterius neprilygstamu, nebent kibernetinio nusikalstamo veikėjo prieiga prie paties prietaiso. Pateikiame išsamų paaiškinimą apie PIN ir slaptažodžio skirtumus.
