cs.phhsnews.com


cs.phhsnews.com / Jak aktualizovat svou sadu šifrovaných balíčků systému Windows Server pro lepší zabezpečení

Jak aktualizovat svou sadu šifrovaných balíčků systému Windows Server pro lepší zabezpečení


Spouštíte slušnou webovou stránku, kterou mohou uživatelé důvěřovat. Že jo? Možná budete chtít tuto kontrolu zopakovat. Pokud jsou vaše stránky spuštěny v Internetová informační služba (IIS), můžete být překvapeni. Pokud se vaši uživatelé pokusí připojit k serveru přes zabezpečené připojení (SSL / TLS), možná jim nebudete poskytovat bezpečnou volbu.

Poskytování lepší šifrovací sady je zdarma a poměrně snadné nastavení. Postupujte podle pokynů krok za krokem, abyste chránili uživatele a váš server. Naučíte se, jak testovat služby, které používáte, abyste zjistili, jak bezpečně jsou skutečně.

Proč jsou vaše Cipher Suites důležité

Služba IIS společnosti Microsoft je docela skvělá. Je to snadné nastavení a údržba. Má uživatelsky přívětivé grafické rozhraní, které usnadňuje konfiguraci. Spouští se na systému Windows. IIS to opravdu hodně dělá, ale ve skutečnosti klesá, pokud jde o bezpečnostní chyby.

Zde je, jak funguje zabezpečené připojení. Váš prohlížeč iniciuje zabezpečené připojení k webu. To je nejlépe identifikováno adresou URL začínající " //". Firefox nabízí malou ikonu zámku, která dále ilustruje tento bod. Chrome, Internet Explorer a Safari mají všechny podobné způsoby, jak vás informovat, že vaše připojení je šifrováno. Server, ke kterému se připojujete, odpovídá na váš prohlížeč se seznamem možností šifrování, z nichž si můžete vybrat nejraději. Váš prohlížeč přejde do seznamu, dokud nenalezne možnost šifrování, která se mu líbí a my jsme vypnuty a běžíme. Zbytek, jak se říká, je matematika. (To nikdo neříká.)

Smrtelnou vadou je to, že ne všechny možnosti šifrování jsou vytvořeny stejně. Některé používají opravdu skvělé šifrovací algoritmy (ECDH), jiné jsou méně kvalitní (RSA) a některé jsou prostě špatné (DES). Prohlížeč se může připojit k serveru pomocí libovolné možnosti, kterou server poskytuje. Pokud vaše stránky nabízejí některé možnosti ECDH, ale také některá možnost DES, váš server se připojí buďto. Jednoduchý způsob nabízení těchto špatných možností šifrování způsobí, že vaše stránky, váš server a uživatelé jsou potenciálně zranitelní. Ve výchozím nastavení služba IIS poskytuje některé poměrně špatné možnosti. Není to katastrofální, ale rozhodně není dobré.

Jak vidíte, kde stojíte

Než začneme, možná budete chtít vědět, kde stojí váš web. Naštěstí dobří uživatelé společnosti Qualys poskytují všem bezplatně služby SSL Labs. Pokud přejdete na adresu //www.ssllabs.com/ssltest/, můžete přesně zjistit, jak váš server reaguje na požadavky HTTPS. Můžete také zjistit, jak se pravidelně používají služby.

Zde je jedna poznámka opatrná. Jen proto, že stránky neobdrží rating A, neznamená to, že lidé, kteří je provozují, dělají špatnou práci. SSL Labs slaví RC4 jako slabý šifrovací algoritmus, i když proti němu nejsou známy žádné útoky. Je pravda, že je méně odolná vůči pokusům o hrubou sílu než něco jako RSA nebo ECDH, ale to nemusí být nutně špatné. Stránky mohou nabízet volbu připojení RC4 z nutnosti kompatibility s určitými prohlížeči, takže použijte hodnocení stránek jako vodítko, nikoliv prohlášení o bezpečnosti nebo nedostatek.

Aktualizace vašeho šifrovacího balíčku

na pozadí, teď pošpiníme ruce. Aktualizace sady voleb, které poskytuje váš server Windows, není nutně jednoduchá, ale rozhodně není ani těžké.

Chcete-li spustit, stiskněte klávesu Windows Key + R, abyste vyvolali dialogové okno "Spustit". Zadejte příkaz "gpedit.msc" a klepnutím na tlačítko OK spusťte Editor zásad skupiny. Zde klikněte na Nastavení konfigurace SSL

Na pravé straně klikněte dvakrát na šifrování SSL

Na levé straně rozbalte položku Konfigurace počítače, Šablony pro správu, Síť a potom klikněte na nastavení konfigurace protokolu SSL. Suite Order.

Ve výchozím nastavení je vybráno tlačítko "Not Configured". Klepnutím na tlačítko "Enabled (Povoleno)" upravíte serverové Cipher Suites.

Po klepnutí na tlačítko bude pole SSL Cipher Suites doplněno textem. Chcete-li zjistit, co Cipher Suites váš server aktuálně nabízí, zkopírujte text z pole SSL Cipher Suites a vložte jej do programu Poznámkový blok. Text bude obsahovat jeden dlouhý neporušený řetězec. Každá z možností šifrování je oddělena čárkou. Umístění každé volby na vlastní řádek usnadní seznam.

Můžete projít seznamem a přidat nebo odstranit do svého srdce obsah s jedním omezením; tento seznam nesmí mít více než 1 023 znaků. To je zvláště nepříjemné, protože šifrovací jednotky mají dlouhé názvy jako "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", proto si pečlivě vybírejte. Doporučuji používat seznam, který dal Steve Gibson na adrese GRC.com: //www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Jakmile jste svůj seznam vybrali, musíte ho naformátovat pro použití . Podobně jako původní seznam musí být nový nový neporušený řetězec znaků s každou šifrou oddělenou čárkou. Zkopírujte formátovaný text a vložte jej do pole SSL Cipher Suites a klepněte na tlačítko OK. Konečně, aby jste změnili pásku, musíte se restartovat.

S tím, že váš server zálohuje a běží, přejeďte se na SSL Labs a vyzkoušejte to. Pokud vše proběhne dobře, výsledky by měly dát hodnocení A.

Pokud byste chtěli něco trochu vizuálního, můžete nainstalovat IIS Crypto od společnosti Nartac (//www.nartac.com/Products/IISCrypto/Default .aspx). Tato aplikace vám umožní provádět stejné změny jako výše uvedené kroky. Umožňuje také povolit nebo zakázat šifrování na základě různých kritérií, takže je nemusíte procházet ručně.

Bez ohledu na to, jak to uděláte, je aktualizace Cipher Suites snadným způsobem, jak zlepšit bezpečnost pro vás a koncových uživatelů.


Download.com a další Balíček Superfish-Style HTTPS Breaking Adware

Download.com a další Balíček Superfish-Style HTTPS Breaking Adware

Je strašidelný čas být uživatel Windows. Lenovo sdružuje HTTPS - únos Superfish adware, Comodo je dodáván s ještě horší bezpečnostní dírou zvanou PrivDog a desítky dalších aplikací, jako je LavaSoft, dělají totéž. Je to opravdu špatné, ale pokud chcete, aby vaše šifrované webové relace byly uneseny, stačí se obrátit na CNET Download nebo na libovolnou freewarovou stránku, protože všechny tyto balíčky jsou nyní vázány na HTTPS.

(how-to)

Jak aktualizovat systém Windows 7 všechno najednou se službou Microsoft Compleience Rollup

Jak aktualizovat systém Windows 7 všechno najednou se službou Microsoft Compleience Rollup

Při instalaci systému Windows 7 do nového systému musíte tradičně projít dlouhým procesem stahování let aktualizací a neustále restartování. Již ne. Společnost Microsoft nyní nabízí "Windows 7 SP1 Combination Compliment Rollup", která v podstatě funguje jako Windows 7 Service Pack 2. S jediným stahováním můžete nainstalovat stovky aktualizací najednou.

(how-to)