如何更新Windows Server密码套件以获得更好的安全性

谜机逻辑图

您运行的是一个受人尊敬的网站,您的用户可以信任。 对? 你可能想要仔细检查一下。 如果您的网站在Microsoft Internet信息服务(IIS)上运行,您可能会感到惊讶。 当您的用户尝试通过安全连接(SSL / TLS)连接到您的服务器时,您可能无法为他们提供安全的选项。

提供更好的密码套件是免费的,很容易设置。 只需按照此一步一步指南,保护您的用户和您的服务器。 你还将学习如何测试你使用的服务,看看他们真正的安全。

为什么您的密码套件是重要的

微软的IIS是相当伟大的。 它很容易设置和维护。 它有一个用户友好的图形界面,使配置变得轻而易举。 它运行在Windows上。 IIS真的有很多事情要做,但是当涉及到安全默认值时,它真的下降。

iis_sshot-7

以下是安全连接的工作原理。 您的浏览器启动与网站的安全连接。 这最容易由以“HTTPS://”开头的网址标识。 Firefox提供了一个小锁图标来进一步说明这一点。 Chrome,Internet Explorer和Safari都有类似的方法让您知道您的连接已加密。 您要连接的服务器使用加密选项列表向浏览器回复,以便按照从首选到最低的顺序进行选择。 您的浏览器向下移动列表,直到找到它喜欢的加密选项,然后我们关闭并运行。 其余的,正如他们所说,是数学。 (没有人说。)

这里的致命缺点是并非所有加密选项都是平等创建的。 一些使用真正伟大的加密算法(ECDH),其他的不太好(RSA),一些只是不利的建议(DES)。 浏览器可以使用服务器提供的任何选项连接到服务器。 如果您的网站提供了一些ECDH选项,但也提供一些DES选项,您的服务器将连接。 提供这些不良加密选项的简单行为使您的网站,您的服务器和您的用户可能易受攻击。 不幸的是,默认情况下,IIS提供了一些很差的选项。 不是灾难性的,但绝对不好。

如何查看你的立场

在开始之前,您可能想知道网站的位置。 幸运的是,Qualys的好伙伴正在为我们所有人免费提供SSL实验室。 如果你去https://www.ssllabs.com/ssltest/~~V ,你可以看到你的服务器究竟是如何回应HTTPS请求。 您还可以看到您使用的服务如何定期堆叠。

Qualys SSL实验室测试页

这里谨慎一点。 只是因为网站没有收到A评级并不意味着运行他们的人做坏了工作。 SSL实验室将RC4作为弱加密算法,即使没有针对它的已知攻击。 真的,它比鲁莽的力量尝试比RSA或ECDH抵抗力更小,但它不一定是坏的。 网站可能提供RC4连接选项,出于与某些浏览器的兼容性的需要,所以使用网站排名作为指南,而不是铁丝网的声明安全或缺乏。

更新您的密码套件

我们已经涵盖了背景,现在让我们弄脏我们的手。 更新您的Windows服务器提供的选项套件不一定简单,但它绝对不难。

iis_sshot-1

要开始,请按Windows键+ R打开“运行”对话框。 键入“gpedit.msc”并单击“确定”以启动组策略编辑器。 这是我们将进行更改的地方。

iis_sshot-2

在左侧,展开计算机配置,管理模板,网络,然后单击SSL配置设置。

iis_sshot-3

在右侧,双击SSL密码套件订单。

默认情况下,选择“未配置”按钮。 单击“启用”按钮以编辑服务器的密码套件。

iis_sshot-5

单击按钮后,SSL密码套件字段将填充文本。 如果要查看服务器当前提供的密码套件,请复制SSL密码套件字段中的文本,并将其粘贴到记事本中。 文本将在一个长而不间断的字符串中。 每个加密选项由逗号分隔。 将每个选项放在单独的行上将使列表更容易阅读。

你可以通过列表,添加或删除你的心的内容与一个限制; 该列表不能超过1,023个字符。 这是特别烦人的,因为密码套件有长名称,如“TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”,因此请仔细选择。 我建议使用在GRC.com由史蒂夫·吉布森放在一起比列表: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt

一旦你策划了你的列表,你必须格式化使用。 像原始列表一样,您的新列表需要是一个不间断的字符串,每个密码由逗号分隔。 复制已格式化的文本,并将其粘贴到SSL密码套件字段中,然后单击确定。 最后,要使更改棒,你必须重新启动。

在您的服务器备份并运行后,转到SSL实验室并进行测试。 如果一切顺利,结果应该给你A评级。

iis_sshot-6

如果你想的东西多一点的视觉,你可以安装IIS加密由Nartac( https://www.nartac.com/Products/IISCrypto/Default.aspx )。 此应用程序将允许您进行与上述步骤相同的更改。 它还允许您根据各种标准启用或禁用密码,因此您不必手动处理它们。

无论如何做,更新您的密码套件是一个简单的方法来提高您和您的最终用户的安全。

赞 (0)
分享到:更多 ()